안드로이드 스마트폰에서 작동하는 트로이목마형 악성코드 변종이 암호화폐 거래소인 코인베이스, 결제 기업인 비트페이 등 32개 지갑 사용자를 비롯해 미국 대형 은행인 JP모건과 웰스파고, 뱅크오브아메리카 등 은행 사이트 고객을 대상으로 삼고 있다고 한다.
러시아에 위치한 사이버 범죄 분석 기업인 그룹IB(Group-IB) 조사에 따르면 첫 검출 트로이목마를 구스타프(Gustuff)로 명명했다. 구스타프는 대량 감염을 목적으로 설계한 것으로 안드로이드용 패키지 파일에 대한 링크를 포함해 SMS 메시지를 통해 확산되고 있다.
구스타프 제작자는 안드로이드용 앱에 많이 쓰이는 지불 항목 등 자동 입력 기능을 이용해 자동 이체를 유도해 이를 통해 자동 전송 시스템을 만들었다고 한다. 또 구스타프는 32개 암호화폐 앱 사용자를 대상으로 진짜 앱으로 위장해 암호 같은 사용자 정보를 훔치는 피싱 사이트도 다수 만드는 걸 목표로 하고 있다고 한다. 이 구조는 일반 앱 아이콘을 도용한 푸시 알림을 통해 위장 앱과 진짜 웹사이트를 모방한 위조 데이터를 다운로드해 자동 입력을 하도록 하는 것이다. 그 뿐 아니라 장애인용으로 개발된 안드로이드 사용자 보조 기능을 악용하고 있다.
?#GroupIB uncovers #Android #Trojan #Gustuff capable of targeting more than 100 global banking apps, cryptocurrency and marketplace applications Gustuff is a new generation of #malware complete with automated features designed to steal fiat and crypto https://t.co/gUC9il5AKc pic.twitter.com/sBNvDelIrI
— Group-IB (@GroupIB_GIB) 2019년 3월 28일
그룹IB 측은 미국 27개, 폴란드 17개, 호주 10개, 독일 9개, 인도 8개를 포함해 100개 이상 은행계열 앱, 암호화폐 앱 32개 등을 대상으로 한 위장 앱을 특정했다. 또 페이팔 온라인 은행이나 웨스턴유니온, 이베이, 월마트, 스카이프, 왓츠앱 등 지불 시스템이나 메신저 앱도 표적 중 하나라고 밝히고 있다. 그룹IB 측은 안드로이드 사용자는 구글플레이에서만 앱을 내려 받고 다운로드한 파일 확장자에 주의하라고 경고했다. 관련 내용은 이곳에서 확인할 수 있다.