모바일 뱅킹 트로이목마 ‘릴톡’ 변종 확산
상태바
모바일 뱅킹 트로이목마 ‘릴톡’ 변종 확산
  • 김선애 기자
  • 승인 2019.08.21 10:26
  • 댓글 0
이 기사를 공유합니다

카스퍼스키랩, 온라인 뱅킹 하이재킹 해 피해자 금융자산 접근…러시아서 테스트 후 다른 나라로 공격 확장

[데이터넷] 모바일 뱅킹 트로이목마 릴톡(Riltok)의 러시아발 변종이 확산되고 있어 사용자의 각별한 주의가 요구된다. 카스퍼스키랩에 따르면 이 악성코드는 개발 후 러시아에서 테스트 한 후 해외로 유포하는 전형적인 단계를 거친 것으로 보인다.

금전 탈취 목적의 모바일 악성코드 릴톡 변종은 2018년 중반 최초 발견됐으며, 프랑스와 이탈리아, 영국에서 인기 있는 서비스로 위장해 유포되면서 유럽을 시작으로 세계 각국으로 퍼져 나가고 있다.

이 트로이목마는 로그인 정보를 훔치고 온라인 뱅킹 세션을 하이재킹하는 등 피해자의 금융 계좌와 자산에 접근한다. 합법적인 웹 서비스 및 앱으로 위장해 설치를 유도한 후 사용자의 로그인 정보와 민감한 데이터를 입력하게 한다.

사용자에게 인기 무료 광고 웹사이트와 매우 유사한 허위 웹사이트 링크를 포함한 SMS 메시지를 보내는 것으로 시작된다. 웹사이트는 사용자에게 해당 서비스의 새로운 모바일 앱 버전을 사용해 보도록 안내하면서 실제로는 릴톡 악성코드를 심는다. 다운로드 후 피해자에게서 필요한 권한을 확보하면 이 악성코드는 기본 SMS 수신 및 조회 앱으로 자동 설정된다. 이를 통해 공격자는 은행 카드 사용에 쓰이는 확인 코드 등 모든 SMS 메시지를 읽고 다른 번호로 SMS를 보내 악성코드를 추가 유포한다.

▲합법적인 앱으로 위장해 유포하는 릴톡 악성코드

이 악성코드는 허위 구글 플레이 스토어 앱 화면을 표시하고 피해자에게 결제 카드 정보를 입력하도록 하여 은행 카드 정보 도난. 카드 번호 입력 시 숫자 수를 확인하는 등 제공된 정보가 올바른지 확인하는 작업까지 수행한다.

뱅킹 앱과 유사한 화면을 표시하거나 브라우저에서 피싱 페이지를 열어 은행 계좌 로그인 정보를 도난한다. 보안 솔루션이나 기기 안전성 관련 설정 등 다른 앱의 활동 및 설정 숨기기 기능을 제공한다.

카스퍼스키 연구진은 러시아를 비롯하여 이탈리아와 프랑스, 영국 등지에서 릴톡으로 인해 4000명 가량의 피해자가 발생했음을 탐지했다.

이창훈 카스퍼스키코리아 지사장은 “릴톡 악성코드가 느리지만 꾸준한 속도로 러시아 전역에 유포되는 것을 주시하고 있다. 이 위협의 배후에 있는 사이버범죄자들이 유럽을 시작으로 새로운 국가와 대륙에 대한 공격을 감행할 것으로 예상한다. 이미 유사한 사례는 여러 차례 있었다. 공격자가 효과적인 악성코드를 만들고 이를 러시아에서 테스트한 뒤 같은 방식을 통해 해외로 유포해 새로운 지역으로 피해가 확장된다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.