테크레시피

안드로이드용 암호화폐 앱 노리는 악성코드

안드로이드 스마트폰에서 작동하는 트로이목마형 악성코드 변종이 암호화폐 거래소인 코인베이스, 결제 기업인 비트페이 등 32개 지갑 사용자를 비롯해 미국 대형 은행인 JP모건과 웰스파고, 뱅크오브아메리카 등 은행 사이트 고객을 대상으로 삼고 있다고 한다.

러시아에 위치한 사이버 범죄 분석 기업인 그룹IB(Group-IB) 조사에 따르면 첫 검출 트로이목마를 구스타프(Gustuff)로 명명했다. 구스타프는 대량 감염을 목적으로 설계한 것으로 안드로이드용 패키지 파일에 대한 링크를 포함해 SMS 메시지를 통해 확산되고 있다.

구스타프 제작자는 안드로이드용 앱에 많이 쓰이는 지불 항목 등 자동 입력 기능을 이용해 자동 이체를 유도해 이를 통해 자동 전송 시스템을 만들었다고 한다. 또 구스타프는 32개 암호화폐 앱 사용자를 대상으로 진짜 앱으로 위장해 암호 같은 사용자 정보를 훔치는 피싱 사이트도 다수 만드는 걸 목표로 하고 있다고 한다. 이 구조는 일반 앱 아이콘을 도용한 푸시 알림을 통해 위장 앱과 진짜 웹사이트를 모방한 위조 데이터를 다운로드해 자동 입력을 하도록 하는 것이다. 그 뿐 아니라 장애인용으로 개발된 안드로이드 사용자 보조 기능을 악용하고 있다.

 

그룹IB 측은 미국 27개, 폴란드 17개, 호주 10개, 독일 9개, 인도 8개를 포함해 100개 이상 은행계열 앱, 암호화폐 앱 32개 등을 대상으로 한 위장 앱을 특정했다. 또 페이팔 온라인 은행이나 웨스턴유니온, 이베이, 월마트, 스카이프, 왓츠앱 등 지불 시스템이나 메신저 앱도 표적 중 하나라고 밝히고 있다. 그룹IB 측은 안드로이드 사용자는 구글플레이에서만 앱을 내려 받고 다운로드한 파일 확장자에 주의하라고 경고했다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독