주의! 모바일 애플리케이션 다운로드를 숨긴 트로이 목마

온라인 뱅킹 애플리케이션의 최종 사용자를 대상으로 피해자의 계좌에서 무단 이체를 실행하는 새로운 멀웨어(malware) 공격이 파악되었습니다. 이 공격은 신뢰할 수 있는 애플리케이션인 것처럼 보이기 위해 RSA SecurID 브랜드 또는 스킨을 표시한 Android 기반 SMS 하이재킹 애플리케이션을 사용합니다. 이 공격은 Android 기반 모바일 디바이스 소유자만 표적으로 삼습니다. 현재까지 Apple 디바이스는 피해를 입지 않았습니다. 공격의 실행 단계는 다음과 같습니다.

  1. 트로이 목마 멀웨어가 피해자의 머신에 배포됩니다.
  2. OTP(One Time Password)를 사용하여 이체를 인증하는 온라인 뱅킹 애플리케이션에 피해자가 접속하면 트로이 목마가 가짜 RSA SecurID 애플리케이션을 다운로드하라는 권장 메시지를 표시합니다. 이 애플리케이션은 실제로는 Android 기반 SMS 하이재킹 애플리케이션이지만 RSA SecurID 브랜드 스킨이 표시되어 있습니다.
  3. 트로이 목마가 Android 모바일 디바이스의 전화 번호를 입력하라는 메시지를 표시하고 가짜 RSA SecurID 애플리케이션을 다운로드하는 링크가 포함된 SMS 메시지를 피해자의 디바이스로 보냅니다. 즉, 공식 Google Play 스토어가 아닌 다른 사이트로 연결되는 링크입니다.
  4. 피해자가 이 가짜 애플리케이션을 다운로드하고 설치하면 공격자가 최종 사용자의 계좌에서 자금 이체를 시작합니다.
  5. 온라인 뱅킹 애플리케이션이 OTP가 포함된 SMS 문자 메시지를 사용자의 모바일 디바이스로 전송하면 멀웨어가 문자를 가로채기 때문에 사용자는 문자가 온 것을 알 수 없습니다.
  6. 공격자가 캡처한 OTP를 애플리케이션에 입력하여 무단 거래를 완료합니다.

RSA에서는 RSA 모바일 애플리케이션의 보안 및 신뢰를 유지하기 위해 항상 이러한 애플리케이션의 다운로드를 공식적인 플랫폼 애플리케이션 스토어로 제한하고 있습니다. 이 사례에서는 Google Play 스토어가 아닌 다른 사이트에서 애플리케이션이 다운로드되었다는 사실만 봐도 해당 애플리케이션이 진짜가 아니라는 것을 분명히 알 수 있습니다. RSA의 AFCC(Anti Fraud Command Center)는 가짜 RSA 모바일 애플리케이션 다운로드 사이트를 예의주시하여 추적하고 사이트 작동을 중단시키면서 이와 같은 새로운 공격을 처리하고 있습니다.

이 공격 방법은 새로운 개념도 아니고 RSA 고객만 피해를 입을 수 있는 것도 아니며 올바른 사이버 보안 관념만 숙지해도 여러 지점에서 멈출 수 있는 공격입니다. RSA 고객(및 고객사의 고객)은 다음을 수행함으로써 스스로를 보호할 수 있습니다.

  • 디바이스 플랫폼의 공식 스토어(예: Google Play, Apple App Store 등)가 아닌 다른 사이트에서는 절대 RSA 모바일 애플리케이션을 다운로드하지 않습니다.
  • 소셜 엔지니어링 기반 공격을 예의주시합니다. 이 사례에서는 멀웨어가 모바일 디바이스 전화 번호 등 은행에 제공되었을 수 있는 정보를 최종 사용자에게 입력하도록 합니다.
  • RSA ECAT와 같은 강력한 멀웨어 방지 탐지 및 해결 솔루션을 사용하거나 기업 디바이스용 상용 솔루션을 사용하여 트로이 목마 공격 가능성 및 피해를 최소화합니다.
  • 멀웨어 방지/AV 소프트웨어가 최신 상태이고 방화벽이 설정되어 있으며 디바이스가 루트되지 않았는지 확인합니다.

본 게시물은 SecurID/Via의 제품 총괄 관리자인 Kenn Chong 씨와 공동으로 작성했습니다.

답글 남기기

이메일은 공개되지 않습니다. 필수 입력창은 * 로 표시되어 있습니다.

No Comments