Credit: Martyn Williams
안드로이드.뱅코시(Android.Bankosy)라 부르는 이 악성코드는 소위 이중 요소 인증 시스템의 일부인 해당 코드를 가로챌 수 있도록 업데이트됐다.
수많은 온라인 뱅킹 애플리케이션이 접속 권한을 획득하기 위해 로그인과 비밀번호에다가 정해진 시간 내에 코드를 채울 것을 요구하는데, 이 OTP는 SMS로 보낼뿐만 아니라 자동 전화 통화를 통해 전달할 수 있다.
일부 은행들은 통화 기반의 비밀번호 전달 체제로 바꿨다. 시만텍의 디네시 밴카테산은 12일 한 블로그에서 "이런 제공 형태는 이론상 SMS 메시지가 일부 악성코드에 의해 가로챌 수 있다고 전해진 이래로 보안이 좀더 강화된 것"이라고 전했다.
뱅카테산은 "그러나 뱅코시는 모든 통화가 공격자들에게 착신되도록 업데이트 됐다"며, "아시아 태평양 지역에서 많은 운영자들이 *21*9[목적 숫자]#을 누르면 착신전화로 바뀌는 이 서비스 코드를 사용하는데, 뱅코시는 이를 시행하는 것이다"고 설명했다.
또한 이 악성코드는 피해자에게 전화가 수신되는 동안 알리지 않도록 기기를 잠그기 위해 정숙 모드로 바꿔놓는다.
OTP는 공격자들이 이미 확보해 둔 피해자의 로그인 신원 정보와 함께 사용된다. 이 뱅코시는 2014년 7월에 시만텍에 의해 발견됐다.