‘Citmo’ 모바일 뱅킹 정보 탈취 안드로이드 악성코드

특정 은행에서 제작한 사용자 인증을 위한 앱으로 위장

[보안뉴스 김태형] 구글(Google)에서 개발한 안드로이드(Android) 운영체제에서 동작하며 모바일 뱅킹(Mobile Banking) 정보를 탈취하는 Citmo(Carberp-in-the-Mobile)가 발견되었음을 러시아 보안 업체인 카스퍼스키(Kaspersky)에서 ‘Carberp-in-the-Mobile’ 블로그를 통해 공개했다.

안드로이드 운영체제에서 동작하는 모바일 뱅킹 정보 탈취 목적의 안드로이드 악성코드는 올해 몇 차례가 발견된 사례가 있다.

-2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드

-2012년 8월 - SMS를 유출하는 ZitMo 안드로이드 악성코드 변형 발견

이번에 안랩 시큐리티대응센터(이하 ASEC)에서 발견된 Citmo는 아래 이미지와 같이 러시아어로 제작되어 모바일 뱅킹을 위한 특정 은행에서 제작한 사용자 인증을 위한 앱으로 위장하고 있다.

해당 안드로이드 앱을 설치하면 아래 이미지와 같이 SMS 읽기와 보내기 등의 사용자 권한을 요구하게 된다.

ASEC는 “이번에 발견된 Citmo는 모바일 뱅킹 과정에서 감염된 스마트폰 사용자가 은행으로부터 수신한 모바일 뱅킹을 위한 인증번호를 입력하면 해당 인증 번호를 유출하게 된다”고 밝혔다.

그리고 특정 시스템으로부터 수신한 데이터를 이용해 모바일 뱅킹 관련 번호로부터 전송된 SMS 수신을 차단하게 된다. 이 과정에서 감염된 스마트폰 사용자는 자신의 계좌에서 돈이 이체되는 것을 알지 못하게 된다고 ASEC는 설명했다.

이외에 해당 앱이 안드로이드 스마트폰에 정상적으로 설치되면, 안드로이드 스마트폰에서 다음 정보들을 수집하여 러시아에 위치한 특정 시스템으로 전송하게 된다.

PhoneNumber

DeviceId

SimCountryIso

SimOperatorName

SMS

이번에 발견된 모바일 뱅킹 정보를 탈취하기 위한 목적으로 제작된 Citmo는 V3 모바일 제품군에서 다음과 같이 진단한다.

-Android-Spyware/Citmo

[김태형 기자(boan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)