CWN(CHANGE WITH NEWS) - 안드로이드 멀웨어 ′갓파더′, 16개국 은행·암호화폐 거래소 사용자 겨냥한 계정 탈취 시도

싱가포르 컴퓨터 소프트웨어 기업 그룹-IB(Group-IB) 애널리스트팀이 안드로이드 뱅킹 멀웨어 피해를 경고했다.

사이버 보안 전문 매체 블리핑컴퓨터는 그룹-IB의 신규 보고서를 인용, ‘갓파더(Godfather)’라는 이름의 안드로이드 멀웨어가 온라인 뱅킹 서비스와 가상자산 거래소 사이트 400여 개의 사용자 계정 신원 정보 탈취를 시도한 사실을 보도했다.

갓파더는 뱅킹 및 암호화폐 서비스 앱 로그인 페이지에 실제 HTML 피싱 페이지인 로그인 화면 중첩 이미지를 생성하고는 사용자의 로그인 정보 입력을 유도하는 방식으로 정보를 탈취한다. 그룹-IB는 구글 플레이 스토어에 갓파더를 유포하는 악성 앱이 배포된 것을 발견했으나 주요 멀에어 확산 경로는 아직 확인되지 않았다.

현재까지 16개국의 뱅킹 서비스 및 가상자산 거래 서비스 안드로이드 앱 사용자 불특정 다수를 상대로 신원 정보 탈취를 시도한 것으로 확인됐다. 그룹-IB가 발견한 악성 앱 400여 개중 절반 이상인 215개가 사용자 정보 탈취에 성공했으며, 미국, 터키, 스페인, 캐나다, 프랑스, 독일, 영국 순으로 피해 사례가 가장 많이 보고됐다.

갓파더가 포함된 악성 앱 설치 시 갓파더는 안드로이드 표준 보안 툴인 구글 프로텍트(Google Protect)를 모방한다. 그리고 안드로이드 기기 스캔 행동을 모방하면서 사용자를 속인다.

보안 검사로 위장한 기기 스캔 행위는 정상적인 툴처럼 보이는 접근성 서비스(Accessibility Service)의 접근 권한을 요청한다. 사용자의 접근성 승인 후에는 갓파더가 자체적으로 사용자 기기의 SMS 메시지, 알림, 화면 기록, 연락처, 통화 기록, 기기 상태 읽기 권한 등 모든 접근 권한을 허용한다. 접근성 서비스는 사용자의 트로이 목마 제거를 막고, 구글 인증 OTP를 유출하며 명령을 처리하고 PIN 및 비밀번호 필드의 내용을 도용하려 악용한다. 게다가 피해자 기기에 설치된 앱의 가짜 알림을 생성하면서 피싱 페이지 접속을 유도한다.

한편, 갓파더 유포 세력의 정체는 알려지지 않았으나 악성 앱 설치 시 시스템 언어가 러시아어, 아제르바이잔어, 아르메니아어, 벨라루스어, 카자흐어, 키르기스어, 우즈베크어, 타지크어, 몰도바어 등으로 설정된 것으로 드러났다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]