랜섬웨어뉴스

새로운 피싱 캠페인이 발견됐다. 안드로이드 모바일 장비에서 사용자의 크리덴셜을 훔쳐내고, 키로거를 설치하며, 랜섬웨어 공격까지 가능하게 해주는 고급 멀웨어를 배포하는 것이 이 캠페인의 목적이라고 한다.​

문제의 고급 멀웨어는 다름 아닌 아누비스(Anubis).​

먼저 공격자들은 피해자들에게 이메일 메시지를 보낸다. 이 메시지는 APK 파일을 다운로드 하게 해주는 링크를 포함하고 있다. 해당 파일을 받으면 구글 플레이 프로텍트(Google Play Protect)가 설치된다고 피해자들을 속인다. 설치 과정이 시작되면 ‘서명되지 않은 안드로이드 앱을 장비에서 실행시킬 수 있는 권한’을 달라고 요청하며, 이에 응할 경우 해당 장비는 공격자의 통제 하에 들어가게 된다.

“아누비스는 설치된 이후 장비를 스캔해서 금융이나 뱅킹과 관련된 앱을 찾습니다. 그 외 인기 높은 상거래 앱(이베이나 아마존 등)이 있는지도 확인합니다. 결국 아누비스가 노리는 건 금융과 관련된 정보니까요. 그런 앱이 발견되면 아누비스는 오버레이 공격을 통해 원래 애플리케이션의 로그인 화면과 똑같이 보이는 화면을 띄워 사용자가 크리덴셜을 입력하도록 유도합니다.”​

“아누비스는 안드로이드 모바일 장비를 완전히 장악해서 데이터를 훔치고 전화 통화 관련 내용들을 전부 기록할 수 있으며, 장비 통제권을 공격자에게 완전히 넘겨주어 피해자를 협박할 수 있게도 해줍니다.” 

이번 캠페인의 경우 안드로이드 4.0.3 이상 버전들에 영향을 주는 것으로 알려져 있다.​

최신 아누비스 피싱 공격에 당하지 않으려면 설치하는 앱에 대하여 계속해서 경계해야 한다고 코펜스는 권고한다. “개발사가 믿을 만한 곳인지, 앱의 출처가 올바른지, 앱을 설치하라는 메시지를 보낸 자들이 믿을 만한 사람인지를 전부 확인한 후에 앱을 설치하는 게 좋습니다.”

[ 보안뉴스 ] 문가용 기자​원문보기