직접 채굴은 효율 떨어져...모바일 기기 프로세싱 파워 약해
크리덴셜 훔쳐서 사기성 송금 노리는 수법 성행하고 있어

[보안뉴스 문가용 기자] 암호화폐의 인기가 급증함에 따라 사이버 범죄자들의 관심도 최근 급격하게 암호화폐 쪽으로 기울었다. 이전에는 크리덴셜이나 개인정보를 훔치던 실력으로 암호화폐 지갑을 털기 시작한 것이다. 이런 와중에 IBM이 암호화폐를 훔치는 새로운 모바일 멀웨어를 찾아내 발표했다.


IBM은 몇 주 전 트릭봇(TrickBot)이라는 트로이목마가 웹 주입 방식을 통해 암호화폐 코인을 훔쳐내는 것을 발견했다. 피해자가 보유하고 있는 정상적인 지갑 주소를 해커의 것으로 바꿔치기 하는 방식이 사용되고 있었다. 이번에 IBM이 발견한 모바일 멀웨어 역시 스크린 오브레이 기술을 써서 사용자가 공격자에게 송금하도록 유도하고 있었다고 한다.

암호화폐를 훔치는 것을 목표로 하는 모바일 멀웨어는 보통 채굴 코드를 동반해 사용자 기기로 화폐 채굴을 하는 것이 보통이다. 그러나 IBM은 이러한 수법이 그다지 많은 이윤을 남기지 않는다고 한다. 모바일 기기들의 프로세싱 파워가 채굴에 적합하지 않기 때문이다. 게다가 채굴 행위를 알아채는 사용자가 점점 늘어나고 있기도 하다고 IBM은 설명한다.

“그래서 채굴 코드를 직접 심는 행위는 적어도 모바일 환경에서는 바뀌고 있는 추세입니다. 지갑이나 거래 페이지와 똑같은 모양의 화면을 주입해 사용자가 아무런 의심도 없이 필요한 정보를 입력하게 유도해서, 그 정보를 가지고 돈을 훔쳐내는 기법을 사용하죠. 크리덴셜을 훔쳐 계정을 장악하는 게 가장 흔히 발견되고 있는 수법입니다.”

모바일 기기 내 특정 애플리케이션이 열려 있는지 여부를 확인할 수 있는 기능을 가진 모바일 멀웨어는 엑소봇(ExoBot), 뱅크봇(BankBot), 마처(Marcher), 마자르(Mazar) 등이 있다. 이 멀웨어들은 하드코딩이 되거나 동적 오버레이를 통해 정상적인 앱 화면을 숨기고, 그 위에 가짜 화면을 노출시키는 기능 또한 가지고 있다.

이러한 멀웨어들을 살짝 변경시키면 얼마든지 암호화폐 관련 애플리케이션을 통해 사용자의 크리덴셜을 획득하는 게 가능해진다. 만약 다중인증 옵션을 사용하고 있다고 해도 기기를 침해해 두 번째 크리덴셜 또한 하이재킹 할 수 있다고 한다.

위 멀웨어들은 여태까지는 은행 계좌를 훔치는 데 활용됐다. IBM 측은 “사이버 범죄자들이 표적을 은행 계좌에서 암호화폐 계좌로 옮길 수 있다는 걸 깨달았다”며 “두 공격 방법이 상당히 흡사하다”고 설명한다. “뱅크봇과 마처의 경우, 이미 암호화폐 지갑이나 관련 앱을 공격할 수 있는 기능들을 갖춘 버전이 돌아다니고 있습니다.”

뱅크봇과 마처는 다양한 암호화폐 코인들을 겨냥해 공격할 수 있다고 한다. “비트코인, 비트코인 캐시, 이더리움, 라이트코인, 모네로 등 이름만 대면 알만한 코인들 대부분 공격에 노출되어 있습니다. 오버레이 공격이 매우 간단한 것처럼 보이지만, 사용자들이 아직 많이 속습니다. 공격자 편에선 비교적 간단한 옛 기술로 새로운 자금을 확보할 수 있게 된 것이죠.”

모바일 환경에서 생성되고 개발되는 멀웨어들은 기존 PC용 멀웨어들을 따라하거나 흡수한 것들이 대부분이다. 공격자들이 PC에서 하던 짓을 모바일에서도 똑같이 하고 싶어 하기 때문이다. “암호화폐는 지금 유행처럼 지나가는 ‘표적’ 중 하나일 뿐입니다. 암호화폐 보호도 좋지만 모바일 환경에서 이러한 공격들이 새롭게 발견된다는 것을 더 우선적으로 경계해야 합니다. 모바일 환경 자체는 일시적인 유행이 아니기 때문입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>