보안

"나, 구글 플레이인데, 너의 정보가 필요해", 유명 앱으로 가장한 악성코드 등장

Michael Kan | IDG News Service 2016.06.29
사이버 범죄자들이 유럽에서 우버, 왓츠앱, 구글 플레이의 UI(user interfaces)를 가장할 수 있는 악성코드로 신용카드 정보를 훔치고 있다.



보안 벤더 파이어아이는 "덴마크, 이탈리아, 독일에 있는 안드로이드 사용자를 공격하는 이 악성코드는 SMS 피싱 공격을 통해 확산되고 있었다"고 밝혔다.

사용자가 다운로드하면 이 악성코드는 가짜 UI를 만들어 해당 스마트폰에 있는 실제 앱 위에 덮어씌운다. 이후 이 인터페이스는 신용카드 정보를 요구하고 사용자가 기입한 데이터를 해커에게 보낸다.

이 악성코드는 진화를 계속한다. 파이어아이는 이 악성코드를 발견한 2월 이후로 이와 같은 덮어씌우기 기술을 사용한 악의적인 프로그램을 유럽 내에서 55개를 발견했다. 초기 버전에서는 뱅킹 앱을 표적으로 했지만 현재 이 악성코드는 왓츠앱, 구글 플레이를 포함한 좀더 인기많은 소프트웨어의 인터페이스를 가장할 수 있다.

파이어아이 연구원 우 저우는 이메일을 통해 "사용자들은 뱅킹 앱에 그랬던 것처럼 이들 제품에 신용카드 정보를 넣는 경향이 있다"고 말했다. "사이버 범죄자들은 보통 가장 많은 금전적 이익을 원한다. 그래서 그들은 사용자가 가장 많은 앱들을 표적으로 한다"고 덧붙였다. 이 악성코드 일부는 유투브, 우버, 중국 메시징 앱인 위챗(WeChat)을 표적으로 한다.

이 사이버 범죄자들은 이 악성코드를 퍼트리기 위해 한 링크가 담긴 SMS 메시지를 보내어 이를 클릭하도록 피해자들을 속인다. SMS 메시지는 보통 '고객님의 주문을 전달할 수 없습니다. 이를 위해서는 여기에 정보를 기입하십시오'라는 내용을 남긴다.

파이어아이는 2월부터 이 악성코드가 확산되고 있음을 파악하고 지금까지 추적해 온 결과, 5개의 다른 캠페인을 탐지했다. 그 가운데 하나의 캠페인에서만 링크에 클릭한 이가 최소 13만이 넘는 것으로 알려졌다.

특히 이 악성코드의 새로운 버전은 탐지하기가 어렵다. 파이어아이에 따르면, 이 악의적인 코드의 위험성을 54개 안티바이러스 툴 가운데 6개만이 알아차렸다. 이 악성코드는 UAE, 독일, 이탈리아, 라트비아, 네덜란드 등지에 서버들을 두고 있었다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.