개발자가 앱을 실험적으로 출시하기 위한 구조인 테스트플라이트(TestFlight) 등을 악용해 단말에 침입하는 사상 첫 iOS판 트로이목마가 발견됐다. 보고에 따르면 골드픽액스(GoldPickaxe)로 명명된 해당 멀웨어는 피해자 은행 계좌로부터 자금을 인출하기 위해 이용된다고 한다.
2월 15일 보안 기업 그룹-IB(Group-IB)가 밝힌 새로운 보고서에 따르면 안드로이드 기기에서 작동하도록 설계된 트로이목마 골드디거(GoldDigger)를 기반으로 한 멀웨어가 지난해 10월 처음 발견됐다고 한다.
회사 측은 이 멀웨어를 골드픽액스라고 명명해 조사를 실시했다. 이에 따르면 골드픽액스에는 iOS와 안드로이드 버전이 있어 골드디거와는 달리 검지를 회피하기 위해 설계된 정기 업데이트가 이뤄지고 있는 게 특징이라고 한다.
iOS 버전 굴드픽액스는 얼굴 인식 데이터나 SMS를 가로채는 게 가능하며 해커는 훔친 생체 인증 데이터를 악용해 AI에 의한 딥페이크를 만들 수도 있어 훔친 ID나 SMS로부터 정보를 생체 정보와 조합해 피해자 은행 계좌에 부정하게 액세스할 수 있다는 것.
골드픽액스를 악용한 해커는 애플 모바일 앱 테스트 플랫폼인 테스트플라이를 이용해 악성코드를 배포했다. 하지만 이후 테스트플라이트에서 앱이 삭제됐기 때문에 해커는 단말을 일원 관리하기 위한 구조인 MDM에 주목했다. 트로이목마를 탑재한 MDM 프로파일을 피해자에게 설치하게 하기 위해 소셜엔지니어링에 의한 공격을 거쳐 기기를 완전히 제어하는데 성공했다고 한다.
발표 시점 골드픽액스는 베트남과 태국 피해자만을 표적으로 사용되고 있다는 것. 그 중에서 태국은행에선 2023년 3월 이후 5만 바트 이상 거래를 할 때에는 생체인증으로 본인 확인을 하도록 하기 때문에 이런 거래로 도난당한 생체 정보가 사용될 수 있다. 베트남에서도 공공 서비스 앱으로 위조한 앱에서 생체 정보를 훔쳐 은행 예금을 빼앗겼다는 소식이 보도되고 있으며 그룹-IB는 골드픽액스와의 관계를 의심하고 있다.
그룹-IB는 골드픽액스가 중국어를 구사하는 사이버 범죄 그룹인 골드팩토리(GoldFactory)에 의해 개발된 것으로 생각하고 있으며 골드팩토리는 다른 안드로이드용 멀웨어 개발 조직인 기가버드(Gigabud)와 밀접한 관계가 있다고 추정하고 있다.
그룹-IB는 트로이목마 침입을 막는 방법으로 수상한 링크를 누르지 말 것, 앱은 공식 플랫폼에서만 다운로드할 것, 앱이 요구하는 권한에 세심한 주의를 기울일 것 등을 권하고 있다. 관련 내용은 이곳에서 확인할 수 있다.