은행권 악성코드를 막는 소프트웨어 업체인 트러스티어(Trusteer)의 수석 애널리스트인 아예렛 헤이만은 “악성코드는 은행이 문자 서비스를 통해 보내는 인증 정보를 훔치는 것뿐 아니라, 안드로이드폰을 가지고 있지 않은 사용자에게 안드로이드폰을 구입하도록 유도하기도 했다”고 밝혔다.
또한 헤이만은 “문자메시지를 추적하기 위해 3일동안 기다리지 않아도 되기 때문에 안드로이드용으로 커스터마이징된 제품은 공격자들에게 상당히 유리하다”며, “심비안 스마트폰이 이같은 경우”라고 설명했다.
트러스티어는 스파이아이 변종이 7월 26일 스페인 전역에 퍼진 것을 발견했다고, 블로그에서 밝혔다.
공격은 고객이 로그인하면 OTP(One Time Password)를 휴대폰 메시지로 보내는 은행을 목표로 설정했다.
공격자들은 처음에는 원격에서 은행 거래를 조작하면서 고객의 데스크톱을 노출시키고, 그 다음 휴대폰을 노출시켜 OTP를 가로챘다.
한번은 공격자들은 사용자의 노트북에서 훔쳐낸 자격으로 계정에 로그인하면서 공격해 데스크톱과 휴대폰 모두를 감염시켰다. 은행이 OTP가 담긴 문자 메시지를 고객에게 보냈을 때, 휴대폰의 악성코드는 사용자의 계정에 완벽하게 인증하기 위해 사용하는 패스워드를 공격자에게 전달하는 것이다. 그 다음 공격자는 자금을 빼내고 옮긴다.
휴대폰 노출은 공격자가 목표로한 은행의 웹사이트에 사용자가 데스트톱으로 접속할 때 시작한다. 팝업 메시지는 새로운 의무 보안 기능을 실행하는 것처럼, 안드로이드폰에 보안 애플리케이션을 다운로드해야 한다고 알려준다. 이로써 사용자는 다운로드와 설치를 단계별로 밟게 되는 것이다.
한번 작동되면, 악성코드는 모든 문자 메시지를 공격자의 C&C 서버에 전달한다.
공격자들은 안드로이드폰를 가지고 있지 않은 고객들에게 “불편한 일이지만, 돈을 안전하게 지키기 위한 유일한 방법으로, 안드로이드폰을 구입할 것을 권한다”라는 메시지를 띄운다.
헤이만은 “스파이아이의 다음번 시도는 데스크톱이 아나라 휴대폰에서 시작하는 세션을 추적할 것으로 보인다”고 말했다. editor@itworld.co.kr