암호화폐 관련 혹은 소셜미디어 관련 앱으로 위장한 채 등록 완료
14개 폴란드 은행 노린 금융권 공격...앱 즉시 삭제하면 상황 종료

[보안뉴스 문가용 기자] 뱅킹 트로이목마가 또 다시 구글 플레이 스토어에 진입했다. 이 악성 앱은 크립토 모니터(Crypto Monitor) 혹은 스토리세이버(StorySaver)라는 앱으로 위장해 스토어에 등록됐다. 크립토 모니터는 암호화폐의 가격을 실시간으로 알려주는 앱인 것처럼 광고되고 있고, 스토리세이버는 인스타그램에서 이야기들을 다운로드 받게 해주는 앱처럼 위장했다. 이는 보안 업체 이셋(ESET)이 블로그를 통해 발표했다.


크립토 모니터는 11월 25일에 스토어 등록을 마쳤으며 개발자는 월터스튜디오(walterstudio)로 나온다. 스토리세이버는 11월 29일에 처음 출시됐으며, 개발자 이름은 키릴삼소노브45(kirillsamsonov45)라고 등록되어 있다. 이 두 개 앱을 12월 4일까지 다운로드 받은 사람은 1000~5000명 사이이다.

이 두 앱에는 실제로 광고된 그대로의 기능이 일부 포함되어 있다. 하지만 이따금씩 가짜 알림창이 뜨며 정상 은행 애플리케이션과 비슷하게 로그인을 시도하라고 하는데, 사실은 크리덴셜을 훔치는 피싱 페이지일 뿐이다. 또한 SMS를 활용한 2중 인증을 위한 문자메시지를 중간에서 가로채기도 한다.

크립토 모니터와 스토리세이버는 각각 특정 뱅킹 앱 목록을 가지고 있기도 하다. 즉 이 두 멀웨어는 특정 브랜드의 은행 고객들만을 노리고 있는 것이다. 그렇기에 기기 내 침투를 완료하면 기기를 스캔해 어떤 앱이 설치되어 있는지 확인하고, 뱅킹 앱 목록과 비교하여 공격 가능 여부를 확인한다. 이셋이 분석한 샘플들에는 14개의 폴란드 은행들이 목록을 구성하고 있었다.

이셋은 블로그를 통해 “이 14개 폴란드 은행 앱들 중 하나라도 기기에 있으면 해당 은행의 로그인 인터페이스를 흉내 낸 팝업창을 띄운다”며 “그런 식으로 크리덴셜을 수집해간다”고 경고했다.

크립토 모니터와 스토리세이버가 크리덴셜을 빼가는 데에 있어 사용자의 특정 행동이 필요하지는 않다. 다행인 건 위에서 설명한 것 외의 고급 기능은 가지고 있지 않아, 분석이나 삭제가 용이하다는 것이다. 이셋은 “옵션 -> 애플리케이션 관리자 / 애플리케이션”으로 가서 “스토리세이버나 크립토 모니터를 제거해주기만 하면 상황이 종료된다고 말한다. 즉, 위 앱들으 통한 공격자들의 지속적인 공격이나 감시가 이뤄지지는 않는다는 것.

하지만 앱을 너무 늦게 삭제했을 수도 있다. 이미 공격자들은 필요한 걸 다 가지고 나간 상태일지도 모른다는 것이다. 그래서 이셋의 전문가들은 “앱을 설치하기 전에 항상 평점과 리뷰를 살피라”고 권장한다. 또한 앱이 요청하는 권한 설정도 주의 깊게 살펴야 한다고 말한다.

이셋의 블로그에 나온 상세 내용은 여기(https://www.welivesecurity.com/2017/12/11/banking-malware-targets-polish-banks/)서 열람이 가능하다(영문).
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>