통화 가로채 실제 은행처럼 전화 연결해...전화기 화면 출력도 바꿔
비공식 스토어에서 앱 받지 말아야...안드로이드 8은 면역
[보안뉴스 문가용 기자] 페이크뱅크(Fakebank)라는 멀웨어의 새로운 변종이 발견됐다. 이 변종은 사용자가 은행으로 전화를 걸 때, 이를 가로채 사이버 공격자들과 연결시켜 주며, 공격자들은 마치 은행인 것처럼 통화를 진행하는 것으로 알려졌다.
[이미지 = iclickart]
이는 시만텍의 보안 전문가들이 발견해 블로그에 게재한 내용으로, 이들은 이 페이크뱅크의 새로운 버전에 감염된 애플리케이션들을 무려 22가지나 찾아냈다고 한다. 이 애플리케이션들은 비공식 앱스토어 등을 통해 배포되고 있으며 소셜 네트워크 플랫폼에서도 발견되고 있다. 가장 확장이 활발한 나라는 다름 아니라 대한민국이다.
이전 버전은 은행에서 오는 SMS를 가로채거나, 사용자가 은행으로 전화를 걸 때 통화 내용을 녹음하는 기능을 가지고 있었다. 사용자가 인터넷 뱅킹을 사용할 때 가짜 로그인 페이지를 화면에 출력시키는 기능도 있었다. 새 버전에는 이 모든 기능에 더해 실제 통화까지도 가로채는 기능이 추가된 것이다.
페이크뱅크는 설치가 된 후 기기 종류와 개인정보 등 각종 데이터를 C&C 서버로 전송한다. 그러면 공격자들은 해당 멀웨어로 환경설정 파일을 보낸다. 여기에는 은행과 공격자들의 전화번호가 저장되어 있다. 사용자가 이 은행 번호로 전화를 걸면 공격자의 번호로 전화가 걸리게 한 것이다.
페이크뱅크 멀웨어는 공격자들에게 크게 네 가지 정보를 전달한다. 통화를 가로채는 데 필요한 정보들이다. 진짜 은행 전화번호와 가짜 은행 전화번호는 물론, 전화가 걸릴 때 사용자의 전화기에 노출된 화면과 가짜 발신인 확인 장치까지도 여기에 들어있다. 사용자가 보기에는 화면에 출력된 정보와 수화기 너머 공격자들의 목소리들까지 전부 진짜인 것처럼 인지된다.
시만텍의 보안 전문가들은 이러한 행위가 가능하도록 하는 API와 권한 허용(android.permission.SYSTEM_ALERT_WINDOW)이 안드로이드 버전마다 조금씩 다르게 나타나기도 한다고 말한다. 사용자에게 권한 허용을 직접 묻는 일이 발생하지 않도록 하기 위해서인데, 심지어 공격할 안드로이드 버전을 제한시키기도 한다고 한다.
현재 새로운 버전의 페이크뱅크 공격을 막을 수 있는 안드로이드 버전은 8 뿐이다. 안드로이드 8에만 시스템 윈도우를 오버레이 하는 것이 금지되어 있기 때문이다. 이는 화면에 가짜 정보가 출력되는 것을 막는다.
또한 페이크뱅크는 통화 관련 이벤트들을 C&C 서버로 전송하는 역할도 담당한다. 또한 한국에서 인기가 높은 전화기 레이아웃 정보도 다수 가지고 있다. 한국의 은행 고객들을 가장 확실하게 속이기 위해서라고 시만텍은 분석한다.
그러므로 가장 확실한 방지책은 안드로이드 OS를 최신 버전으로 업데이트 하는 것이다. 또한 공식 스토어 외에 다른 곳에서 앱을 다운로드 받아 설치하지 말아야 한다. 앱을 설치할 때 허용하라는 내용을 꼼꼼하게 검토하는 것도 필요하다. 중요한 데이터에 대한 주기적인 백업도 빼놓을 수 없다.
페이크뱅크가 처음 나타난 건 올해 1월이었다. 당시는 보안 업체 트렌드 마이크로(Trend Micro)가 발견했고, 주로 발견된 국가는 러시아였다. 현재는 공격자들이 업그레이드 된 무기로 한국을 조준하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]
비공식 스토어에서 앱 받지 말아야...안드로이드 8은 면역
[보안뉴스 문가용 기자] 페이크뱅크(Fakebank)라는 멀웨어의 새로운 변종이 발견됐다. 이 변종은 사용자가 은행으로 전화를 걸 때, 이를 가로채 사이버 공격자들과 연결시켜 주며, 공격자들은 마치 은행인 것처럼 통화를 진행하는 것으로 알려졌다.
[이미지 = iclickart]
이는 시만텍의 보안 전문가들이 발견해 블로그에 게재한 내용으로, 이들은 이 페이크뱅크의 새로운 버전에 감염된 애플리케이션들을 무려 22가지나 찾아냈다고 한다. 이 애플리케이션들은 비공식 앱스토어 등을 통해 배포되고 있으며 소셜 네트워크 플랫폼에서도 발견되고 있다. 가장 확장이 활발한 나라는 다름 아니라 대한민국이다.
이전 버전은 은행에서 오는 SMS를 가로채거나, 사용자가 은행으로 전화를 걸 때 통화 내용을 녹음하는 기능을 가지고 있었다. 사용자가 인터넷 뱅킹을 사용할 때 가짜 로그인 페이지를 화면에 출력시키는 기능도 있었다. 새 버전에는 이 모든 기능에 더해 실제 통화까지도 가로채는 기능이 추가된 것이다.
페이크뱅크는 설치가 된 후 기기 종류와 개인정보 등 각종 데이터를 C&C 서버로 전송한다. 그러면 공격자들은 해당 멀웨어로 환경설정 파일을 보낸다. 여기에는 은행과 공격자들의 전화번호가 저장되어 있다. 사용자가 이 은행 번호로 전화를 걸면 공격자의 번호로 전화가 걸리게 한 것이다.
페이크뱅크 멀웨어는 공격자들에게 크게 네 가지 정보를 전달한다. 통화를 가로채는 데 필요한 정보들이다. 진짜 은행 전화번호와 가짜 은행 전화번호는 물론, 전화가 걸릴 때 사용자의 전화기에 노출된 화면과 가짜 발신인 확인 장치까지도 여기에 들어있다. 사용자가 보기에는 화면에 출력된 정보와 수화기 너머 공격자들의 목소리들까지 전부 진짜인 것처럼 인지된다.
시만텍의 보안 전문가들은 이러한 행위가 가능하도록 하는 API와 권한 허용(android.permission.SYSTEM_ALERT_WINDOW)이 안드로이드 버전마다 조금씩 다르게 나타나기도 한다고 말한다. 사용자에게 권한 허용을 직접 묻는 일이 발생하지 않도록 하기 위해서인데, 심지어 공격할 안드로이드 버전을 제한시키기도 한다고 한다.
현재 새로운 버전의 페이크뱅크 공격을 막을 수 있는 안드로이드 버전은 8 뿐이다. 안드로이드 8에만 시스템 윈도우를 오버레이 하는 것이 금지되어 있기 때문이다. 이는 화면에 가짜 정보가 출력되는 것을 막는다.
또한 페이크뱅크는 통화 관련 이벤트들을 C&C 서버로 전송하는 역할도 담당한다. 또한 한국에서 인기가 높은 전화기 레이아웃 정보도 다수 가지고 있다. 한국의 은행 고객들을 가장 확실하게 속이기 위해서라고 시만텍은 분석한다.
그러므로 가장 확실한 방지책은 안드로이드 OS를 최신 버전으로 업데이트 하는 것이다. 또한 공식 스토어 외에 다른 곳에서 앱을 다운로드 받아 설치하지 말아야 한다. 앱을 설치할 때 허용하라는 내용을 꼼꼼하게 검토하는 것도 필요하다. 중요한 데이터에 대한 주기적인 백업도 빼놓을 수 없다.
페이크뱅크가 처음 나타난 건 올해 1월이었다. 당시는 보안 업체 트렌드 마이크로(Trend Micro)가 발견했고, 주로 발견된 국가는 러시아였다. 현재는 공격자들이 업그레이드 된 무기로 한국을 조준하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
(1).jpg){kind=spacer}
(0).jpg){kind=spacer}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
