스마트폰 악성코드 주의보
정상 앱 위장, 보안점검 피해
인증정보 탈취 후 금융사기
출처 불분명 앱 깔지 말아야
정상 앱 위장, 보안점검 피해
인증정보 탈취 후 금융사기
출처 불분명 앱 깔지 말아야
 |
감염되면 이용자 모르게 스마트폰에서 무단 금융 결제까지 수행할 수 있는 악성코드가 안드로이드 운영체제(OS) 환경에서 유포되고 있어 주의가 요구된다.
25일 보안기업 그룹-IB(Group-IB) 보고서에 따르면 지난 10월부터 안드로이드 스마트폰에서 평범한 애플리케이션(앱)으로 위장한 ‘원더랜드’라는 악성코드가 유포되고 있다.
‘트로이목마’ 등 이전에 배포되던 악성코드들은 이용자가 실행하는 즉시 악성코드가 동작하는 방식이었다면 원더랜드는 악성 소프트웨어를 내장하고 있는 일반 앱 형식을 띤다.
설치 과정에서 이용자에게 민감한 권한을 요청하거나 의심스러운 동작을 요구하지 않기에 이용자로서는 설치 시점에 악성 앱 여부를 알기가 어렵다.
설치가 완료되면 원더랜드는 공격자의 실시간 명령을 받아 이용자의 스마트폰을 통제할 수 있게 된다. 그룹-IB는 “원더랜드는 기존의 단방향 전송과 다르게 양방향 통신을 지원해 공격자의 원격제어 에이전트 역할을 한다”고 설명했다.
공격자는 문자메시지(SMS)부터 1회용 비밀번호 생성기(OTP)까지 탈취하며, 이동통신사 서버와 정보를 주고받는 명령을 시행해 착신 전환까지 구현할 수 있다. OTP에도 접근할 수 있기 때문에 이용자의 금융 앱에 접속해 자금을 무단 탈취하는 것까지 가능하다.
이 과정에서 공격자들은 금융 앱의 푸시 알림마저 일시적으로 숨김으로써 이용자가 돈이 빠져나간다는 사실을 인지하지 못하게 하는 것으로 파악됐다. 그룹-IB 추적에 따르면 공격자들은 이를 통해 올해에만 200만달러(약 29억원) 이상을 탈취한 것으로 추정된다.
원더랜드는 우즈베키스탄에서 처음 포착됐으며, 공격자들은 도난당한 텔레그램 계정을 다크웹에서 구매한 뒤 이를 경로로 다른 연락처에 악성 앱 설치 파일을 유포하는 것으로 드러났다. 또 다른 스마트폰 감염에 성공하게 되면 해당 피해자 연락처에 접근해 파일을 재유포하는 방식이다.
사용자 입장에서는 새로운 앱 다운로드 시엔 공식 앱스토어를 이용하고, 메신저 등에서 공유받은 파일을 통해 앱을 설치하는 경우는 주의해야 한다. 앱을 실행하는 단계에서는 앱이 요청하는 권한을 자세히 확인한 후 꼭 필요한 권한만 허용하는 것이 도움이 된다.
이미 감염이 의심된다면 즉시 스마트폰의 네트워크 연결을 끊고 악성 앱을 찾아 삭제하거나 스마트폰 초기화를 진행하는 것이 좋으며, 무단 결제 피해가 발생했다면 경찰서를 방문해 사고 내역을 신고해야 한다.
[ⓒ 매일경제 & mk.co.kr, 무단 전재, 재배포 및 AI학습 이용 금지]
이 기사의 카테고리는 언론사의 분류를 따릅니다.