Home > 전체기사
모바일 뱅킹 트로이목마 ‘Riltok’의 러시아발 변종 확산
  |  입력 : 2019-08-21 10:18
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
합법적인 앱으로 위장해 로그인 정보 및 온라인 뱅킹 세션 등 빼가

[보안뉴스 원병철 기자] 2018년 중반에 최초 발견된 금전 탈취 목적의 모바일 뱅킹 악성코드 ‘Riltok’의 새로운 변종을 발견됐다. 카스퍼스키 연구진은 Riltok 변종이 최근 프랑스와 이탈리아, 영국에서 인기 있는 서비스로 위장해 유포되면서, 유럽을 시작으로 세계 각국으로 퍼져 나가고 있다는 사실을 알아냈다고 밝혔다.

[이미지=iclickart]


뱅킹 트로이목마 Riltok은 기본적으로 로그인 정보를 훔치고 온라인 뱅킹 세션을 하이재킹하는 등 피해자의 금융 계좌와 자산에 접근하도록 고안된 악성코드이기 때문에 스마트폰 사용자에게 큰 위협이 된다. 트로이목마는 합법적인 웹 서비스 및 앱으로 위장해 설치를 유도한 후, 사용자의 로그인 정보와 민감한 데이터를 입력하게 만드는 경우가 많다.

‘Real Talk’에서 이름이 유래한 Riltok 트로이목마의 경우, 대개 사용자에게 인기 무료 광고 웹사이트와 매우 유사한 허위 웹사이트 링크를 포함한 SMS 메시지를 보내는 것으로 시작된다. 웹사이트로 가보면, 사용자에게 해당 서비스의 새로운 모바일 앱 버전을 사용해 보도록 안내하면서 실제로는 Riltok 악성코드를 심는다. 다운로드 후 피해자에게서 필요한 권한을 확보하면 이 악성코드는 기본 SMS 수신 및 조회 앱으로 자동 설정된다. 이를 통해 공격자는 은행 카드 사용에 쓰이는 확인 코드 등 모든 SMS 메시지를 읽고 다른 번호로 SMS를 보내 악성코드를 추가로 유포한다.

이 악성코드의 주요 기능은 다음과 같다. 첫 번째로 허위 Google Play 스토어 앱 화면을 표시해 피해자에게 카드 정보를 입력하도록 하여 은행 카드 정보를 빼가는 것은 물론 카드 번호 입력 시 숫자 수를 확인하는 등 제공된 정보가 올바른지 확인하는 작업까지 수행한다. 두 번째는 뱅킹 앱과 유사한 화면을 표시하거나 브라우저에서 피싱 페이지를 열어 은행 계좌의 로그인 정보를 훔친다. 세 번째는 보안 솔루션이나 기기 안전성 관련 설정 등과 관련된 다른 앱의 활동과 설정을 숨기며, 마지막 네 번째는 합법적인 뱅킹 앱의 알림을 숨긴다.

카스퍼스키 연구진은 러시아를 비롯하여 이탈리아와 프랑스, 영국 등에서 Riltok으로 인해 4,000명 가량의 피해자가 발생했다고 밝혔다.

카스퍼스키코리아의 이창훈 지사장은 “저희는 Riltok 악성코드가 느리지만 꾸준한 속도로 러시아 전역에 유포되는 것을 주시하고 있다. 이 위협의 배후에 있는 사이버 범죄자들이 유럽을 시작으로 새로운 국가와 대륙에 대한 공격을 감행할 것으로 예상한다”며, “이미 유사한 사례는 여러 차례 있었다. 공격자가 효과적인 악성코드를 만들고 이를 러시아에서 테스트한 뒤 같은 방식을 통해 해외로 유포해 새로운 지역으로 피해가 확장되는 식으로 이러한 위협은 보통 전 세계로 확장된다”라고 말했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)