국내 은행을 타깃으로 하는 피싱 멀웨어가 하루가 멀다하고 발견되고 있다. 특히 보안이 취약한 모바일 기기를 타깃으로 하는 지능형 공격이 급증하고 있어 사용자의 주의가 요구된다.
트렌드마이크로의 ‘2013년 2분기 보안 위협 보고서’에 따르면 국내 특정 은행을 노리는 멀웨어가 발견되면서 국내 온라인 뱅킹 이용자와 기관의 인식제고가 심각한 것으로 나타났다. 보고서에서는 안드로이드 보안 취약성이 온라인 뱅킹 위협을 증가시키고 있으며, 저렴한 멀웨어 툴킷의 보급이 늘어나면서 멀웨어 공격에 의한 온라인 뱅킹 위협이 더욱 심각하다고 주장했다.
안드로이드용 악성앱은 올해 2분기 71만8000건까지 증가했는데, 악성앱이 35만건으로 증가하는데 3년이 소요된 반면, 최근 6개월 동안 25만건 이상 늘어났으며, 연말까지 100만개 이상 악성앱이 등장할 것으로 보인다.
안드로이드 기반 온라인 뱅킹 위협이 크게 증가하고 있는데, 이전 분기 대비 멀웨어 감염이 29% 증가한 11만3000건에서 14만6000건에 이르렀다. 그 중 일부는 감염된 컴퓨터의 HOSTS 파일을 수정해 한국의 특정 은행 고객들을 피싱 사이트로 유도하는 온라인 뱅킹 멀웨어도 발견됐다.
모바일 랜섬웨어 등장
카스퍼스키랩의 ‘2013년 2분기 IT 위협 분석 리포트’에 따르면 모바일 악성코드는 이미 PC 악성코드와 성능이 비슷해졌다. 6월에는 안드로이드 기반의 랜섬웨어가 등장하기도 했다. 랜섬웨어는 감염된 기기의 사용자가 돈을 지불할 때 까지 해당 기기의 사용을 차단하도록 설계된 소프트웨어로, 지난해부터 PC 사용자를 대상으로 공격이 진행됐다.
모바일 랜섬웨어는 피해자에게 감염된 파일을 제거하기 위해 가짜 모바일 안티 바이러스 소프트웨어의 라이선스를 구입할 것인지 묻는 메시지와 함께 스마트폰의 나머지 기능에 대한 사용자의 접근을 차단할 것이라는 메시지를 기기에 표시한다.
가짜앱 식별 어려워
악성코드를 삽입하는 가짜 모바일앱도 극성을 부린다. 특히 금융앱을 위장한 악성앱은 사용자가 식별하기 어려울만큼 정교하게 제작됐다. 하우리가 발견한 금융악성앱은 정상앱에서 사용하는 인증정보를 사용할 수 있어 사용자는 정상적인 모바일뱅킹 거래로 생각할 수 있으며, 구글마켓에도 등록할 수 있다. 구글마켓에는 해당 취약점을 이용한 앱이 등록되지 않도록 차단돼 있다.
이스트소프트는 추석을 앞두고 관련된 메시지를 보내는 스미싱 공격이 급증하고 있다며 주의를 요구했다. 이스트소프트가 발견한 악성앱은 기기관리자 권한을 획득하는 동시에 안드로이드 취약점을 이용해 기기관리자 리스트에서 자신을 숨기며, 사용자가 기기관리자 권한을 컨트롤할 수 없고, 삭제가 불가능하다.
안랩은 자사의 V3 모바일 설치안내 메시지를 위장한 스미싱이 나타나고 있다고 공개했다. 안랩 사칭 문자 메시지는 ‘[공지사항] ㈜Ahnlab에서 알려드립니다.’로 시작해 마치 안랩의 공식 메시지인 것처럼 사용자를 속인다. 메시지에는 개인정보 유출을 막기 위해 V3모바일을 설치하라는 안내와 함께, 가짜 V3모바일 앱이 자동 설치되는 URL이 삽입돼 있다.
사용자가 메시지의 URL을 실행하면 ‘V3 모바일 플러스’와 유사한 아이콘의 악성 앱이 설치된다(보충자료 2 참조). 해당 악성 앱의 아이콘의 모양은 V3와 유사하지만 이름은 ‘내가사께!’로 나타난다. 이는 예전에 ‘내가사께!’라는 악성 앱을 만든 동일한 제작자가 V3를 사칭한 악성 앱을 제작하면서 미처 이름을 변경하지 못한 것으로 예상된다.
이 악성 앱을 실행하면 악성코드 검사를 하는 듯한 화면이 나타나고, 동시에 악성코드가 작동해 사용자 몰래 주소록, 통화기록, 문자 메시지를 특정 서버를 통해 공격자에게 전송한다. 지난 해 말과 올해 초에 유출된 개인정보와 모바일 악성코드를 결합해 실제 금전적 피해가 발생한 바 있어 더욱 주의가 필요하다.
안랩은 현재 삼성(갤럭시 제품군)과 LG(옵티머스 제품군) 스마트폰에 기본탑재 방식으로 V3 모바일을 제공하고 있으며, 문자 메시지 등을 통해 개별 설치 안내를 하지 않는다.
