[보안뉴스 한세희 기자] 다른 사람 스마트폰으로 NFC 결제를 하는 해킹 공격이 포착됐다.

안드로이드 기기를 겨냥한 피싱 메일로 멀웨어를 심어 카드 결제 정보를 탈취, 매장이나 현금인출기에서 돈을 빼낸다. 모바일 보안기업 클리파이는 이 같은 방식의 ‘서비스로서의 멀웨어’(MaaS) 기반 ‘슈퍼카드X’(SuperCard X) 공격이 등장했다고 21일 밝혔다.

이 공격은 중국어를 사용하는 해커 그룹이 주도하는 것으로 추정된다. NFC 관련 오픈소스 프로젝트인 ‘NFC게이트’를 악의적으로 수정한 ‘N게이트’와 유사 코드를 갖고 있다.

공격자는 텔레그램 채널을 통해 이 멀웨어를 적극 홍보한다. 이 채널에서는 직접 고객 상담까지 진행한다.


안드로이드 기기 NFC 결제 기능을 노리는 슈퍼카드X 공격 구성도 [자료: 클리파이]

공격은 은행 명의를 사칭한 문자메시지나 왓츠앱 메시지로부터 시작된다. “수상한 거래가 발생했다”는 등의 경고와 함께 고객센터에 전화하라고 알린다. 고객센터 직원을 가장한 범죄자가 전화를 받아 신용카드 번호나 비밀번호 등을 확인하라고 유도해 정보를 빼낸다.

이후 보안인증 앱 등으로 가장한 앱을 설치하도록 유도한다. 이 앱은 NFC 관련 권한만 최소한으로 요구해 경계심을 낮춘다. 하지만 여기에 슈퍼카드X 멀웨어가 숨겨져 있다. 인증을 위해 신용카드를 스마트폰에 탭하라는 안내를 따르면 멀웨어가 신용카드 칩의 데이터를 읽어 공격자에게 전송한다.

공격자의 안드로이드 폰에는 훔친 정보를 이용해 피해자 카드인 것처럼 행동하는 또 다른 앱이 설치돼 있다. 일종의 카드 에뮬레이터다. 이 앱을 사용해 공격자는 가게에서 무접촉 결제를 하거나 현금인출기에서 돈을 빼낼 수 있다.


멀웨어가 설치된 피해자 스마트폰과 피해자 카드 정보로 결제할 수 있는 앱이 설치된 공격자 기기 [자료: 클리파이]

이 앱은 현재 안티바이러스 엔진 기업들이 아직 포착하지 못한 상태라고 클리파이는 밝혔다. 스크린 오버레이 등의 기능을 활용, 탐지를 피하고 있기 때문인 것으로 파악된다.

[한세희 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>