원래는 모바일 사용자 데이터 탈취용 멀웨어
뱅킹 트로이목마 기능들 추가돼 새롭게 변신
[보안뉴스 문가용] 은행의 고객을 노리는 사이버 공격자들이 데스크톱을 넘어 모바일을 본격적으로 노리고 있다는 사실을 뒷받침 해줄만한 현상이 드러났다. 미국, 러시아, 우크라이나에서 안드로이드 사용자들만 집중해서 노리는 새로운 뱅킹 트로이목마가 등장한 것이다. 이 멀웨어는 카스퍼스키가 발견했다.
.jpg)
멀웨어의 이름은 아사커브(Asacub). 처음 세상에 나타난 건 지난 해 6월이라고 보이며 원래는 휴대기기 브라우저에 저장된 방문 히스토리, 연락처 목록 등의 정보를 훔쳐내는 기능을 가진 것이었다. 또한 기기로 들어오는 SMS 메시지를 가로채거나 원격 서버로 포워딩시킬 수도 있었으며 기기 화면을 끄고 기기 주인인 것처럼 타자에게 SMS 메시지를 보내는 것도 가능했다.
그런데 작년 가을부터 카스퍼스키는 아사커브의 새로운 버전들을 목격하기 시작했다. 뱅킹 트로이목마들에서 발견되는 기능들이 추가된 것이다. “악성 파일 하나에는 유럽의 메이저 은행들의 로고가 저장되어 있었고, 기존의 피싱 화면에는 은행 카드 정보를 입력하는 필드가 새로 생겼어요. 이게 무슨 뜻이냐면 아사커브가 특정 은행의 고객들만을 노리기 시작했다는 겁니다.” 카스퍼스키 모바일 위협 전문가인 로만 우누셰크(Roman Unuchek)의 설명이다.
변화는 이것뿐만이 아니다. 데이터를 훔치는 원래 기능 역시 조금 바뀌었다. 일단 기능이 엄청나게 늘어났다. 예를 들면 브라우저와 연락처 정보를 업로드하는 것에 더해 기기에 설치된 앱 정보도 업로드할 수 있게 되었다. 문자뿐 아니라 통화도 포워딩 시킬 수 있게 되었으며 특정 USSD 요청도 실행할 수 있게 되었다. USSD 요청을 실행할 수 있게 되면 간단히 말해 전화를 걸거나 문자를 보내지 않고도 통신사 및 모바일 서비스와의 통신이 가능하게 된다. “이런 추가 기능은 ‘뱅킹 트로이목마’로서의 변신을 더 확고히 해주는 것들이라고 볼 수 있습니다.”
가장 최신 버전의 아사커브는 추적도 할 수 있고 현재 위치 정보도 서버로 전송한다. 또한 스냅샷도 찍을 수 있는 것으로 나타났다.
아직 아사커브가 어느 정도까지 확산되었는지는 파악이 불가능한 상태다. 하지만 유럽에서만 활동 중이라고 한정지을 수는 없는 게, 특정 버전에서는 미국의 메이저 은행의 로고가 저장된 파일이 발견되기 때문이다. “지금은 대부분 유럽의 은행고객들이 표적이지만, 언제 미국으로 총구가 옮겨져도 전혀 이상하지 않은 상황입니다.”
아사커브는 안드로이드 사용자를 겨냥한 뱅킹 트로이목마로 올해 두 번째 발견되었다. 첫 번째는 시만텍이 발견한 뱅코시(Bankosy)라는 데이터 탈취 트로이목마러 아사커브와 마찬가지로 뱅킹 트로이목마로 점점 변하고 있다. 가까운 미래에는 PC 환경이 아니라 모바일 환경에서 멀웨어의 활동이 더욱 활발해질 것이라는 예측을 뒷받침해주는 현상이다.
아직 한국에서 아사커브가 발견된 사례는 없지만, 과거에 등장했던 모바일 멀웨어가 은행 고객들을 노리는 무기로 탈바꿈해서 재등장하는 경우 자체가 앞으로 없다고는 장담할 수가 없다. 각종 금융 활동이 모바일에서 이루어지고 있는 때에, 해커들은 새로운 무기를 개발하기도 하지만 있던 무기를 개조하기도 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
뱅킹 트로이목마 기능들 추가돼 새롭게 변신
[보안뉴스 문가용] 은행의 고객을 노리는 사이버 공격자들이 데스크톱을 넘어 모바일을 본격적으로 노리고 있다는 사실을 뒷받침 해줄만한 현상이 드러났다. 미국, 러시아, 우크라이나에서 안드로이드 사용자들만 집중해서 노리는 새로운 뱅킹 트로이목마가 등장한 것이다. 이 멀웨어는 카스퍼스키가 발견했다.
멀웨어의 이름은 아사커브(Asacub). 처음 세상에 나타난 건 지난 해 6월이라고 보이며 원래는 휴대기기 브라우저에 저장된 방문 히스토리, 연락처 목록 등의 정보를 훔쳐내는 기능을 가진 것이었다. 또한 기기로 들어오는 SMS 메시지를 가로채거나 원격 서버로 포워딩시킬 수도 있었으며 기기 화면을 끄고 기기 주인인 것처럼 타자에게 SMS 메시지를 보내는 것도 가능했다.
그런데 작년 가을부터 카스퍼스키는 아사커브의 새로운 버전들을 목격하기 시작했다. 뱅킹 트로이목마들에서 발견되는 기능들이 추가된 것이다. “악성 파일 하나에는 유럽의 메이저 은행들의 로고가 저장되어 있었고, 기존의 피싱 화면에는 은행 카드 정보를 입력하는 필드가 새로 생겼어요. 이게 무슨 뜻이냐면 아사커브가 특정 은행의 고객들만을 노리기 시작했다는 겁니다.” 카스퍼스키 모바일 위협 전문가인 로만 우누셰크(Roman Unuchek)의 설명이다.
변화는 이것뿐만이 아니다. 데이터를 훔치는 원래 기능 역시 조금 바뀌었다. 일단 기능이 엄청나게 늘어났다. 예를 들면 브라우저와 연락처 정보를 업로드하는 것에 더해 기기에 설치된 앱 정보도 업로드할 수 있게 되었다. 문자뿐 아니라 통화도 포워딩 시킬 수 있게 되었으며 특정 USSD 요청도 실행할 수 있게 되었다. USSD 요청을 실행할 수 있게 되면 간단히 말해 전화를 걸거나 문자를 보내지 않고도 통신사 및 모바일 서비스와의 통신이 가능하게 된다. “이런 추가 기능은 ‘뱅킹 트로이목마’로서의 변신을 더 확고히 해주는 것들이라고 볼 수 있습니다.”
가장 최신 버전의 아사커브는 추적도 할 수 있고 현재 위치 정보도 서버로 전송한다. 또한 스냅샷도 찍을 수 있는 것으로 나타났다.
아직 아사커브가 어느 정도까지 확산되었는지는 파악이 불가능한 상태다. 하지만 유럽에서만 활동 중이라고 한정지을 수는 없는 게, 특정 버전에서는 미국의 메이저 은행의 로고가 저장된 파일이 발견되기 때문이다. “지금은 대부분 유럽의 은행고객들이 표적이지만, 언제 미국으로 총구가 옮겨져도 전혀 이상하지 않은 상황입니다.”
아사커브는 안드로이드 사용자를 겨냥한 뱅킹 트로이목마로 올해 두 번째 발견되었다. 첫 번째는 시만텍이 발견한 뱅코시(Bankosy)라는 데이터 탈취 트로이목마러 아사커브와 마찬가지로 뱅킹 트로이목마로 점점 변하고 있다. 가까운 미래에는 PC 환경이 아니라 모바일 환경에서 멀웨어의 활동이 더욱 활발해질 것이라는 예측을 뒷받침해주는 현상이다.
아직 한국에서 아사커브가 발견된 사례는 없지만, 과거에 등장했던 모바일 멀웨어가 은행 고객들을 노리는 무기로 탈바꿈해서 재등장하는 경우 자체가 앞으로 없다고는 장담할 수가 없다. 각종 금융 활동이 모바일에서 이루어지고 있는 때에, 해커들은 새로운 무기를 개발하기도 하지만 있던 무기를 개조하기도 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
