우리나라 모바일 뱅킹 사용자를 노리고 있는 대규모 안드로이드 악성앱에 대한 경고가 나왔다.
파이어아이 연구소는 뱅킹 사용자를 노리는 악성 안드로이드앱이 단일 프레임워크로 제작되고 있으며, 이것이 완성되면 해커들은 단 30분만에 또 다른 은행을 타깃으로 한 악성 앱을 만들어 낼 수 있다고 경고했다. 특히 개발자들이 한국시장을 타깃하고 있으며, 대규모 금융정보 탈취로 이어질 수 있다.
지금까지 안드로이드 멀웨어는 개인정보 유출, 은행 인증서 유출 등 한가지 기능만을 수행했으나 최근 발견된 프레임워크는 모든 기능을 단일 프레임워크로 통합하고 있다.
최근 새롭게 발견된 악성코드는 정상서비스로 가장해 백신 프로세스를 중지시키고 백그라운드로 실행되면서 RAT 등 다양한 악성행위를 시도하는 것이었다. 구글 서비스 프레임워크를 가장한 멀웨어 앱이 안티 바이러스 애플리케이션 구동을 멈추고 해킹을 시도하는 사례가 잇달아 발견되는 것도 주의해야 한다.
공격의 절차는 스미싱 등을 통해 악성앱을 설치하도록 한 후 구글 서비스 아이콘을 생성하고 GS 프로세스를 시작한다. 이에 대한 삭제 기능이 없어 사용자가 삭제할 수도 없다. 악성코드가 실행되면 C&C 서버에 접속해 명령을 수행한다. 주요 행위는 정상 은행 앱을 삭제하고, 악성 은행 앱 설치를 유도하는 것이다. 추가 악성파일을 다운로드하고 뱅킹 공격을 실시한다.
해커는 한번 하이재킹이 끝난 이후 CNC 서버로부터 더 많은 악성 명령을 내릴 수 있도록 설계하고 준비했다. 이 앱의 독특한 특성으로 인해 모바일 뱅킹의 보안 위험성이 한층 더 위협받고 있음이 나타났다.