2016.01.14

안드로이드 악성코드, OTP도 훔친다

Jeremy Kirk | IDG News Service
시만텍의 새로운 연구에 따르면, 온라인 뱅킹 애플리케이션을 위한 주요 방어수단인 OTP(One-time passcodes)를 안드로이드 악성코드 프로그램에 의해 가로채기가 가능해졌다.

Credit: Martyn Williams

안드로이드.뱅코시(Android.Bankosy)라 부르는 이 악성코드는 소위 이중 요소 인증 시스템의 일부인 해당 코드를 가로챌 수 있도록 업데이트됐다.

수많은 온라인 뱅킹 애플리케이션이 접속 권한을 획득하기 위해 로그인과 비밀번호에다가 정해진 시간 내에 코드를 채울 것을 요구하는데, 이 OTP는 SMS로 보낼뿐만 아니라 자동 전화 통화를 통해 전달할 수 있다.

일부 은행들은 통화 기반의 비밀번호 전달 체제로 바꿨다. 시만텍의 디네시 밴카테산은 12일 한 블로그에서 "이런 제공 형태는 이론상 SMS 메시지가 일부 악성코드에 의해 가로챌 수 있다고 전해진 이래로 보안이 좀더 강화된 것"이라고 전했다.

뱅카테산은 "그러나 뱅코시는 모든 통화가 공격자들에게 착신되도록 업데이트 됐다"며, "아시아 태평양 지역에서 많은 운영자들이 *21*9[목적 숫자]#을 누르면 착신전화로 바뀌는 이 서비스 코드를 사용하는데, 뱅코시는 이를 시행하는 것이다"고 설명했다.


또한 이 악성코드는 피해자에게 전화가 수신되는 동안 알리지 않도록 기기를 잠그기 위해 정숙 모드로 바꿔놓는다.

OTP는 공격자들이 이미 확보해 둔 피해자의 로그인 신원 정보와 함께 사용된다. 이 뱅코시는 2014년 7월에 시만텍에 의해 발견됐다.


2016.01.14

안드로이드 악성코드, OTP도 훔친다

Jeremy Kirk | IDG News Service
시만텍의 새로운 연구에 따르면, 온라인 뱅킹 애플리케이션을 위한 주요 방어수단인 OTP(One-time passcodes)를 안드로이드 악성코드 프로그램에 의해 가로채기가 가능해졌다.

Credit: Martyn Williams

안드로이드.뱅코시(Android.Bankosy)라 부르는 이 악성코드는 소위 이중 요소 인증 시스템의 일부인 해당 코드를 가로챌 수 있도록 업데이트됐다.

수많은 온라인 뱅킹 애플리케이션이 접속 권한을 획득하기 위해 로그인과 비밀번호에다가 정해진 시간 내에 코드를 채울 것을 요구하는데, 이 OTP는 SMS로 보낼뿐만 아니라 자동 전화 통화를 통해 전달할 수 있다.

일부 은행들은 통화 기반의 비밀번호 전달 체제로 바꿨다. 시만텍의 디네시 밴카테산은 12일 한 블로그에서 "이런 제공 형태는 이론상 SMS 메시지가 일부 악성코드에 의해 가로챌 수 있다고 전해진 이래로 보안이 좀더 강화된 것"이라고 전했다.

뱅카테산은 "그러나 뱅코시는 모든 통화가 공격자들에게 착신되도록 업데이트 됐다"며, "아시아 태평양 지역에서 많은 운영자들이 *21*9[목적 숫자]#을 누르면 착신전화로 바뀌는 이 서비스 코드를 사용하는데, 뱅코시는 이를 시행하는 것이다"고 설명했다.


또한 이 악성코드는 피해자에게 전화가 수신되는 동안 알리지 않도록 기기를 잠그기 위해 정숙 모드로 바꿔놓는다.

OTP는 공격자들이 이미 확보해 둔 피해자의 로그인 신원 정보와 함께 사용된다. 이 뱅코시는 2014년 7월에 시만텍에 의해 발견됐다.


X