본문 바로가기
AhnLab 보안in

자나 깨나 '피싱' 앱 조심... 뱅킹 인증번호 노려

by 보안세상 2020. 4. 16.

2013.01.07

 

구글에서 개발한 안드로이드 운영체제에서 동작하며 모바일 뱅킹 정보를 탈취하는 악성코드가 발견됐다.

해당 악성코드는 Citmo(Carberp-in-the-Mobile)로 불리고 있다.

이달 중순경 러시아보안 업체인 카스퍼스키랩도 이 악성코드와 관련, 자사 블로그를 통해 자세한 내용을 공개한 바 있다.

이번에 발견된 Citmo는 [그림 1]과 같이 러시아어로 제작되어 있으며, 모바일 뱅킹을 목적으로 특정 러시아 은행이 만든 '사용자 인증을 위한 앱'으로 위장하고 있다.

 

[그림 1] 러시아어로 제작된 사용자 인증을 위한 앱으로 위장한 악성코드.




이 앱을 설치하면 [그림 2]와 같이 '사용자 권한' 요구를 먼저 진행하게 된다.



[그림 2] 사용자 권한 요구의 상세 내용.



[그림 2]에서 사용자 권한 요구가 한국어로 적혀 있는 것은 다운로드 받는 이의 언어설정이 한국어였기 때문이다. 언어설정이 영어나 기타 외국어인 경우에는 해당 설정대로 보인다.

 

 

사용자 권한의 세부문항을 살펴보면 악성 앱으로 의심할 만한 대목이 눈에 띈다. 문자메시지 읽기 및 수신 등 과도한 권한을 요구하고 있는 것이다.

 

 

게다가 이 앱은 설치하는 것만으로 외부로 데이터를 유출하는 기능이 실행된다.

 

 

예를 들어 다른 은행으로부터 모바일 뱅킹을 진행하기 위한 '인증번호'를 받을 경우 사용자가 모르는 사이에 인증번호가 외부로 유출되도록 작동하는 것이다.

 

 

이 뿐만 아니라, 빼낸 인증번호를 이용해 계좌 인출을 진행하면서 이 사실을 사용자가 알지 못하도록 추가적인 SMS 수신도 차단시킨다.

 

 

이외에도 해당 앱은 휴대전화 번호와 각종 문자메시지 등 아래와 같은 내용을 수집해서 러시아의 특정 시스템으로 전송토록 하는 기능을 지녔다.

 

 

PhoneNumber

DeviceId

 

SimCountryIso

 

SimOperatorName

 

SMS



이 앱은 주로 러시아나 유럽을 상대로 개발된 것으로 국내에서는 위협이 다소 낮은 편이다.

하지만 유사한 앱이 끊임없이 개발되어 유포되고 있는 만큼, 사용자들의 각별한 주의가 필요하다. 실제로 지난 6월과 8월에도 안드로이드용 모바일 악성코드가 유포된 사례가 있다.

 

 

자세한 내용은 ASEC 블로그의 'Cotimo 모바일 뱅킹 정보 탈취 안드로이드 악성코드'(http://asec.ahnlab.com/892)를 참조하면 된다. Ahn