Home > 전체기사
100개 넘는 금융 서비스 이용자 노린 안드로이드 멀웨어, 구스터프
  |  입력 : 2019-04-01 10:19
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아 멀웨어 제작자가 만들어...다양한 기능 가진 차세대 멀웨어
접근성 서비스 통해 유명 은행, 지불 서비스, 암호화폐 지갑 앱을 겨냥


[보안뉴스 문가용 기자] 러시아어를 구사하는 멀웨어 제작자가 위험한 안드로이드용 트로이목마를 만들었다. 모바일 뱅킹을 하게 해주는 앱들과 암호화폐 지갑, 온라인 지불 서비스 등을 표적으로 하는 이 멀웨어는, 스위스 군용 나이프와 같은 ‘다기능’을 특징으로 하고 있다고 한다.

[이미지 = iclickart]


이 위협을 발견한 건 보안 업체 그룹IB(Group-IB)로 “이 위협은 약 100개 은행의 고객들을 노리고 문자 메시지 형태로 퍼지고 있다”고 경고했다. 이 중에는 뱅크오브아메리카(Bank of America), 웰스파고(Wells Fargo), 캐피탈원(Capital One)과 같이 유명하고 고객이 많은 조직들도 포함되어 있다고 한다.

그룹IB가 발표한 바에 의하면 이 멀웨어의 이름은 구스터프(Gustuff)로, “여러 유명 은행 앱들을 사용하는 사람들만이 아니라, 32개의 암호화폐 관련 앱, 수많은 전자상거래 사이트 및 지불 서비스 등의 고객들도 노릴 수 있다”고 한다. “웨스턴유니언(Western Union), 비트페이(BitPay), 페이팔(PayPal) 등도 안전하지 않을 정도입니다.”

그룹IB는 구스터프에 대해 “금융 정보 및 암호화폐를 사용자 계정으로부터 다량으로 훔쳐내게 해주는 자동화 기능을 다량 보유한 차세대 멀웨어”라고 묘사한다. 그러면서 동적 분석 책임인 루스탐 마르카시모프(Rustam Mirkasymov)는 “구스터프가 악성 안드로이드 패키지 키트(APK) 파일을 가리키는 링크가 포함된 SMS를 통해 퍼지고 있다”고 경고하기도 했다. “문자 메시지의 내용은 다양합니다.”

문자 메시지를 클릭한다고 멀웨어가 설치된다는 것에 고개가 갸우뚱 할 수도 있다. 왜냐하면 안드로이드 장비는 보통 구글 플레이 외 출처로부터 다운로드 된 앱을 설치하지 않기 때문이다. “그러나 많은 사용자들이 옵션 창에 들어가 이 금지 부분을 해제하죠. 설치하고 싶은데 구글 플레이에서 구할 수 없는 앱들이 있기 때문입니다. 즉 구스타프가 통하는 경우는 사용자가 모든 출처의 앱을 설치 가능하도록 환경을 만들었을 때다.

또한 구스타프는 접근성 서비스(Accessibility Services)를 사용하게 해달라는 등의 메시지를 설치 과정 중에 화면에 띄운다. “이를 전부 허용하면 구글 플레이를 출처로 하지 않더라도 설치가 가능하게 되죠.” 접근성 서비스는 장애가 있는 사용자들을 위해 마련된 것으로, 이전부터 공격자들은 이 기능을 남용해 멀웨어를 다운로드 하거나 악성 행위를 실시하는 방법을 선보여 왔다.

그룹IB에 의하면 구스터프는 안드로이드의 접근성 서비스를 사용해 온라인 뱅킹 앱, 암호화폐 지갑, 각종 지불 서비스의 애플리케이션 등에 접근한다고 한다. “공격자들은 구스터프를 통해 접근성 서비스를 사용함으로써 은행 앱들의 문자 필드에 값을 입력하거나 바꿀 수 있게 됩니다. 그러면서 사기성 혹은 불법 거래를 실시할 수 있게 되는 것이죠.”

구스터프는 가짜 알림 메시지를 화면에 띄우는 기능도 가지고 있다. 이 메시지는 정상적인 은행 서비스나 각종 금융 거래 기관으로부터 온 것으로 보인다. “사용자가 여기에 속아 클릭하면, 구스터프는 웹 페이지를 하나 다운로드 받습니다. 물론 알림 메시지를 보낸 기관의 것처럼 보이도록 만들어져 있죠. 그리고 이 페이지로부터 사기 거래를 진행하는 등 추가 피해를 입힙니다.”

미르카시모프는 “접근성 서비스가 있어서 구스터프는 객체를 표적으로 삼을 수 있고, 객체를 클릭할 수 있으며, 객체 텍스트를 바꿀 수도 있다”고 설명한다. “또한 접근성 서비스의 권한은 구스터프로 하여금 알림 메시지와 SMS에도 접근할 수 있게 하고요.”

구스터프는 자동 전송 시스템(automatic transfer system, ATS) 기능을 사용해 정상 모바일 뱅킹 및 기타 금융 서비스 앱들의 ‘빈 칸’을 자동으로 채워 넣기도 한다. 미르카시모프는 “안드로이드의 접근성 서비스를 남용한 멀웨어로서 구스터프는 최초의 작품이라고 할 수는 없다”고 말한다. “하지만 ATS 기능까지 함께 도입해 공격을 자동화시킨 건 처음 보는 방식입니다.”

그러면서 미르카시모프는 “다행인 점은, 공식 안드로이드 앱에서만 앱을 다운로드 받는다면 구스터프에 걸릴 위험이 없어진다는 것”이라고 짚는다. “애플의 생태계나 구글의 생태계에서나, 비공식 사이트나 스토어에서 앱을 다운로드 받을 때 꽤나 큰 위험을 감수해야 한다는 건 익히 알려진 사실입니다. 이번 사건도 그 점을 다시 한 번 드러내는 것입니다.”

뿐만 아니라 앱 설치 시 사용자들에게 요구되는 허용 옵션을 잘 검토해야 하는 것의 중요성 또한 구스터프를 통해 드러났다고 미르카시모프는 강조한다. “앱의 기능성을 이해하고, 그에 대한 허용 옵션을 잘 생각해봐야 합니다. 물론 수상한 문자의 링크를 함부로 클릭하지 않아야 한다는 것도 이번 사건을 통해 배울 수 있습니다.”

3줄 요약
1. 한 러시아 해커, 스위스 군용 나이프와 같은 차세대 멀웨어 개발해 퍼트리고 있음.
2. 이 멀웨어는 구스터프로, 각종 은행 및 암호화폐, 금융 서비스의 사용자들을 노림.
3. 구글의 접근성 서비스를 남용하고, ATS 자동화 기술도 활용해 빠르고 광범위하게 공격을 실시.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)