[보안뉴스 강현주 기자] 글로벌 보안 생태계에 악명 높은 금융 탈취 악성코드 ‘그란도레이로’(Grandoreiro)와 신형 원격제어 툴(RAT)인 ‘BTMOB’ 변종이 동시에 출현해 세계 전산망을 공습하고 있다.

글로벌 보안기업 이셋(ESET) 연구진에 따르면, 이번 해킹 공격은 단일 플랫폼을 노리던 과거 수법에서 벗어나 MS 윈도우 PC와 구글 안드로이드 모바일 사용자를 동시에 타깃으로 삼고 있다.


[출처: gettyimagesbank]

이 악성코드를 이용한 공격자들은 정교하게 위장한 피싱 이메일과 사기 문자메시지를 유포해 사용자가 악성 링크를 클릭하도록 유도하는 수법을 구사했다.

개인 PC에 침투한 그란도레이로는 사용자의 금융 기관 접속 정보를 실시간으로 훔쳐내고 가짜 은행 팝업창을 띄워 인증 정보를 가로챈다. 모바일 환경을 정조준한 BTMOB 원격제어 툴은 안드로이드 기기의 권한을 장악한 뒤, 일회용 비밀번호(OTP)와 인증 문자메시지를 실시간으로 탈취한다.

공격자들은 이 크로스 플랫폼 공격을 앞세워 PC와 스마트폰을 연동하는 이중인증(2FA) 보안 체계마저 단숨에 무력화한다.

이셋 연구진은 이 변종 악성코드가 사법당국의 추적을 따돌리기 위해 명령제어(C2) 서버의 IP 주소를 실시간으로 바꾸는 고도의 은폐 기술을 탑재했다고 밝혔다. 주로 남미 지역에서 활동하던 이 범죄 조직은 유럽과 아시아의 금융 가입자들까지 사냥 범위로 대폭 확장하며 광범위한 자금 탈취를 감행해왔다.

연구진은 해당 악성코드가 백신 프로그램의 탐지를 우회하기 위해 정상적인 파일 서명으로 위장한 팩트를 확인하고 긴급 차단령을 내렸다.

그란도레이로의 공습으로 인해 막대한 금융자산 약탈 피해를 본 스페인과 포르투갈 사법당국은 가입자들에게 출처가 불분명한 앱의 설치를 즉각 금지했다. 또 은행 거래 시 다중 생체 인증 등 한층 강화된 보안 설정을 적용하라고 강력히 당부했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>