사용자의 문자나 전화 등 탈취...인증 기능 무력화

[보안뉴스 김경애] Facebook 사용자에게 가짜 인증페이지를 노출해 어플리케이션을 다운받도록 유도하는 모바일뱅킹 악성앱이 발견돼 이용자의 주의가 요구된다.

이 악성앱은 사용자의 문자나 전화 등을 탈취하는 기능과 인증 기능을 무력화하는 것이 특징이다.

글로벌 보안업체 맥아피 연구소 측은 “Facebook 사용자를 대상으로 하는 iBanking의 변종을 발견했다”며 “정상적인 Facebook 어플리케이션의 모양뿐만 아니라 일부 기능의 동작이 똑같이 만들어져 정상 어플리케이션 여부 판단을 어렵게 한다”고 밝혔다.

발견된 변종 iBanking은 Facebook 사용자에게 가짜 인증페이지를 노출해 어플리케이션을 다운받도록 유도한다. 공식 페이스북 어플리케이션 모양을 하고 있지만, 정식 어플리케이션과는 일부 차이를 보이고 있다. 어플리케이션 명칭인 Facebook이 FaceBook으로 대문자로 표기돼 있다.  

앱 설치 시 ‘알 수 없는 출처’에 대한 설치 설정 변경을 요구하며, 어플리케이션 설명 부분이 작성되어 있지 않아 악성 어플리케이션으로 판단할 수 있는 부분이 있다.

설치 이후에는 사용자의 동의 없이 2개의 서비스가 백그라운드에서 실행하며, SMS와 HTTP를 이용한 공격자 명령을 수신해 다양한 악성행위를 수행하게 된다. 악성행위는 다음과 같다.

- 모바일 기기로 수신되는 SMS 메시지를 가로채어 공격자에게 전송

- 지정된 전화번호로 걸려오는 전화를 공격자에게 전송

- 저장된 SMS 메시지와 모든 통화 기록을 공격자에게 전송

- 모바일 기기를 이용한 주변 소리를 녹음하여 지정 서버로 전송

- 모바일 기기에 저장된 모든 데이터를 삭제(관리자 권한)

- SD카드에 저장된 모든 이미지를 공격자에게 전송

- 모바일 기기의 SIM 일련번호, 모델명 등 개인정보를 공격자에게 전송

[출처]

1.http://blogs.mcafee.com/mcafee-labs/ibanking-android-trojan-poses-facebook-token-generator

2. http://thehackernews.com/2014/04/ibanking-android-malware-targeting.html
이와 관련된 좀더 자세한 사항은 인터넷침해대응센터를 통해 확인할 수 있다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>