모바일 인터넷 TV(IPTV) 앱으로 위장한 새로운 안드로이드 악성코드가 기기 원격 장악과 금융 탈취를 노리고 확산하고 있다.
IT 보안 매체 더 해커 뉴스(The Hacker News)에 따르면 사이버 보안 연구진은 금융 탈취를 위한 기기 장악(Device Takeover, DTO) 공격에 활용되는 새로운 안드로이드 트로이목마 ‘매시브(Massiv)’의 세부 내용을 공개했다.
네덜란드 모바일 보안 기업 스렛패브릭(ThreatFabric)은 이 악성코드가 겉으로는 무해해 보이는 IPTV 앱으로 가장해 피해자를 속이고 있으며, 온라인 TV 애플리케이션을 찾는 사용자를 주된 표적으로 삼고 있다고 설명했다.
스렛패브릭은 보고서에서 이 새로운 위협이 아직 소수의 비교적 표적화된 캠페인에서만 확인됐지만, 모바일 뱅킹 이용자에게 큰 위험을 초래하고 있다고 밝혔다. 스렛패브릭에 따르면 운영자는 감염된 기기를 원격으로 제어해 기기 장악 공격을 수행하고, 피해자의 은행 계좌에서 추가적인 사기 거래를 진행할 수 있다.
스렛패브릭은 더 해커 뉴스에 이메일을 통해 이 악성코드가 올해 초 포르투갈과 그리스 이용자를 겨냥한 캠페인에서 처음 발견됐다고 전했다. 다만 지난해 초 소규모 시험 캠페인에서 사용된 것으로 보이는 샘플도 확인했다고 덧붙였다.
여러 안드로이드 뱅킹 악성코드 계열과 마찬가지로, 매시브는 다양한 기능을 통해 자격 증명 탈취를 수행한다. 안드로이드 미디어프로젝션(MediaProjection) API를 이용한 화면 스트리밍, 키로깅, SMS 가로채기, 그리고 은행·금융 앱 위에 표시되는 가짜 오버레이를 활용해 이용자의 자격 증명과 신용카드 정보를 입력하도록 유도한다.
이 가운데 한 캠페인에서는 포르투갈 공공 행정 앱 ‘gov.pt’를 표적으로 삼은 사례가 확인됐다. 이 앱은 이용자가 신분증을 보관하고 디지털 모바일 키(Chave Móvel Digital, CMD)를 관리할 수 있도록 하는 애플리케이션이다.
보고서에 따르면 매시브의 오버레이 화면은 이용자에게 전화번호와 PIN 코드를 입력하도록 속이며, 이는 고객신원확인(KYC) 절차를 우회하려는 시도로 추정된다. 스렛패브릭은 공격자들이 이 오버레이를 통해 탈취한 정보를 이용해 피해자 명의로 새로운 은행 계좌를 개설한 사례를 확인했다고 밝혔다.
이렇게 개설된 계좌는 자금 세탁에 이용되거나, 실제 피해자의 동의나 인지 없이 대출 승인을 받는 데 활용된 것으로 파악됐다.
매시브는 또한 완전한 기능을 갖춘 원격 제어 도구 역할을 하며, 운영자에게 피해자 기기에 은밀하게 접근할 수 있는 권한을 부여한다. 악성코드는 기기에서 수행되는 악성 활동을 숨기기 위해 검은 화면 오버레이를 띄우는 방식으로 동작한다.
이 같은 기법은 안드로이드 접근성 서비스(Accessibility Services)를 악용해 구현되며, 크로코딜루스(Crocodilus), 대츠브로(Datzbro), 클로파트라(Klopatra) 등 다른 안드로이드 뱅킹 악성코드에서도 관찰된 바 있다.
스렛패브릭은 일부 애플리케이션이 화면 캡처 방지 기능을 구현하고 있다고 설명했다. 이에 따라 매시브는 이를 우회하기 위해 이른바 ‘UI 트리(UI-tree) 모드’를 사용하며, 이는 AccessibilityWindowInfo 루트를 순회하고 AccessibilityNodeInfo 객체를 재귀적으로 처리하는 방식이라고 분석했다.
이 과정은 화면에 보이는 텍스트와 콘텐츠 설명, 사용자 인터페이스(UI) 요소, 화면 좌표, 그리고 해당 UI 요소가 클릭 가능·편집 가능·포커스 여부·활성화 여부를 나타내는 상호작용 플래그를 JSON 형태로 구성하기 위한 것이다.
이 중 실제로 보이고 텍스트를 가진 노드만이 공격자에게 전송되며, 공격자는 이를 바탕으로 기기와 상호작용하기 위한 구체적인 명령을 내려 다음 공격 단계를 결정할 수 있다.
보고서에 따르면 매시브는 다양한 악성 행위를 수행할 수 있는 기능을 갖추고 있다. 여기에는 검은색 오버레이 활성화, 소리 및 진동 음소거, 기기 정보 전송, 클릭 및 스와이프 동작 수행, 특정 텍스트로 클립보드 내용 변경, 검은 화면 비활성화 등이 포함된다.
헬로티 |
