• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

30여 개 뱅킹 및 결제 앱 공격하는 ‘Acecard’ 주의! 2016.02.23

카스퍼스키랩, 가장 위험한 안드로이드 뱅킹 트로이목마 발견

[보안뉴스 김태형] 현재까지 발견된 트로이목마 중, 가장 위험한 안드로이드 뱅킹 트로이목마가 탐지됐다. 카스퍼스키랩의 안티 맬웨어 연구 조사 팀에서 발견한 ‘Acecard’ 악성코드는 50여 개의 온라인 금융 애플리케이션과 서비스 사용자를 공격할 수 있으며 구글 플레이 스토어의 보안 조치를 우회한다.

2015년 3분기에 카스퍼스키랩의 전문가들은 호주에서 비정상적으로 모바일 뱅킹 공격이 증가하는 동향을 탐지했다. 이 의심스러운 동향을 관찰한 결과, 이처럼 모바일 뱅킹 공격이 급증한 주요 원인은 ┖Acecard┖라는 뱅킹 트로이목마라는 사실이 밝혀졌다.

‘Acecard’ 트로이목마는 현재 사용되는 대부분의 악성 코드 기능을 수행한다. 은행의 문자와 음성 메시지를 훔치는 것부터 정상적인 앱 화면을 악성 코드가 덮어쓰기 하여 개인정보와 계좌정보를 훔치는 기능까지 그 기능은 다양하다. Acecard군 중 최신 버전은 30개 은행과 결제 시스템의 클라이언트 애플리케이션을 공격할 수 있다. Acecard 트로이목마가 명령에 따라 어떤 애플리케이션이든 덮어쓸 수 있다는 점을 고려하면 공격을 받은 금융 애플리케이션의 전체 수는 더 많을 수도 있다. 뱅킹 애플리케이션뿐만 아니라 피싱 창을 사용하여 다음과 같은 애플리케이션도 덮어쓸 수 있다.
-IM 서비스: WhatsApp, Viber, Instagram, Skype
-소셜 네트워크: VKontakte, Odnoklassniki, Facebook, Twitter
-Gmail 클라이언트
-PayPal 모바일 애플리케이션
-Google 플레이 및 Google 뮤직 애플리케이션

Acecard가 최초로 탐지된 시기는 2014년 2월이지만 꽤 오랜 기간 동안 악성 공격 활동의 징후를 거의 드러내지 않았다. 그러다 2015년에 상황이 반전되었다. 갑작스러운 공격 급증이 카스퍼스키랩 연구팀에 탐지됐다. 2015년 5월부터 12월 사이에 6천명 이상의 사용자가 Acecard에 감염되었다. 피해자의 대다수는 러시아, 호주, 독일, 오스트리아, 프랑스에 분포되어 있다.

2년 동안 카스퍼스키랩 연구진은 Acecard가 왕성하게 발달해나가는 모습을 관찰했다. 카스퍼스키랩에서는 Acecard의 신종을 10개 이상 발견했으며, 각 버전은 이전 버전보다 훨씬 더 많은 악성 기능을 지니고 있다.

대개 모바일 기기는 합법적인 앱으로 가장한 악성 앱을 사용자가 다운로드하면서 감염된다. Acecard군은 보통 플래시 플레이어 또는 음란 동영상의 형태로 유포되지만 유용하거나 유명 소프트웨어의 이름과 유사한 이름으로 위장해 유포되기도 한다. 그러나 Acecard가 유포되는 경로는 이뿐만이 아니다. 2015년 12월 28일 카스퍼스키랩 전문가들은 구글 플레이 스토어에서 게임 앱을 가장한 Acecard 트로이목마 (Trojan-Downloader.AndroidOS.Acecard.b)의 변종을 발견했다. 구글 플레이 스토어에서 악성코드가 설치되면 사용자의 바탕 화면에는 Adobe Flash Player 아이콘만 표시되고 설치된 애플리케이션의 동작 징후는 보이지 않는다.

Acecard 코드를 자세히 연구한 카스퍼스키랩 전문가들은 Acecard의 개발자는 최초의 Android TOR 트로이목마 Backdoor.AndroidOS.Torec.a 및 최초의 모바일 암호화/랜섬웨어 Trojan-Ransom.AndroidOS.Pletor.a를 만든 사이버 범죄 조직과 동일 조직이라는 심증을 굳혔다. 그 증거로 코드 라인(메서드 및 클래스 이름)이 유사하다는 점과 동일한 C&C 서버를 사용한다는 점을 들 수 있다. 이러한 사실은 Acecard가 강력하고 경험이 많으며 러시아어를 구사할 것으로 추정되는 범죄조직에서 개발했다는 추측을 뒷받침한다.

이에 대해 카스퍼스키랩코리아(www.kaspersky.co.kr)의 이창훈 지사장은 "범죄 조직은 모든 수단을 동원하여 이 뱅킹 트로이목마인 Acecard를 유포하고 있다. 다른 앱의 이름을 사용할 수도 있고 공식 앱스토어 또는 다른 트로이목마를 통해서도 유포될 수 있다"면서 "이 악성 코드에서 특히 주목할 만한 점은 30개 이상의 뱅킹 및 결제 시스템을 비롯해 소셜 미디어, IM 등의 정상 애플리케이션의 화면을 악성 코드 화면이 덮어쓸 수 있다는 것이다. Acecard의 뛰어난 악성 기능과 무차별적인 유포 방식으로 인해 이 모바일 뱅킹 악성 코드는 오늘날 가장 위험한 위협이 되고 있다"고 말했다.
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>