CWN(CHANGE WITH NEWS) - [독점] 안드로이드 멀웨어 ′에스코바′, 구글 2단계 인증 코드 탈취...계정 보안 적신호

구글, 페이스북 등 여러 온라인 플랫폼이 계정 보안 강화 전략으로 2단계 인증 기능을 적용한다. 그러나 계정 보안 강화를 위해 등장한 2단계 인증 기능의 보안에 적신호가 켜졌다.

해외 사이버 보안 전문 매체 블리핑컴퓨터는 구글 인증과 2단계 인증 코드를 탈취하며 악성 공격을 개시하는 멀웨어 에스코바(Escobar)가 등장했다고 보도했다.

에스코바는 안드로이드 기기의 VNC 기능을 사용하면서 오디오 녹음과 사진 촬영 등을 하면서 특정 앱의 민감 정보를 탈취하도록 확장하는 멀웨어 어베어봇(Aberebot)의 최신 버전이다.

대다수 뱅킹 트로이 목마와 마찬가지로 로그인 페이지 형태를 덮어쓰면서 사용자의 전자 뱅킹 앱, 웹사이트와의 상호작용 과정을 가로채면서 민감 정보를 탈취한다. 로그인 페이지 덮어쓰기 행위가 어느 정도 차단되었으나 에스코바는 모든 안드로이드 버전에서 악성 공격을 개시한다.

지금까지 확인된 바로는 25차례에 걸쳐 허가를 요청하며, 그중 15회는 사이버 공격에 악용한다. 주로 접근성과 오디오 녹음, SMS 읽기, 저장소 읽기 및 작성, 계정 목록 수집, 키보드 잠금 해제, 통화 기능 등을 악용하면서 공격을 개시한다. 이후 에스코바가 가로챈 모든 정보는 C2 서버로 업로드된다.

매체는 사이버 지능 플랫폼 다크비스트(DARKBEAST)를 통해 한 달 전, 어베이봇 개발자가 어느 한 러시아 온라인 포럼에서 ‘안드로이드 뱅킹 트로이 목마 에스코바 봇(Escobar Bot Android Banking Trojan)’이라는 이름으로 에스코바 홍보 글을 게재한 것을 확인했다.

에스코바 개발자는 3일간의 무료 사용 기간 지원과 함께 월 3,000달러에 최대 5명의 고객을 두고 베타 버전을 임대한다고 게재했다. 또, 베타 테스트 이후 정식 출시 버전은 5,000달러에 판매할 계획이라고 덧붙였다.

사이버 보안 전문 기관인 멀웨어헌터팀(MalwareHunterTeam)은 이번 달 초 의심스러운 APK 발견 사실을 처음 발견하며, 대다수 바이러스 방지 엔진을 우회한다고 경고했다.

이후 사이버 보안 연구팀인 사이블(Cyble)이 멀웨어헌터팀의 경고 내용을 바탕으로 에스코바를 분석했다. 연구팀은 지난해 여름 어베어봇이 처음 등장한 점에 주목하며, 어베어봇의 변형 버전인 에스코바 개발이 여전히 진행 중일 것이라는 사실을 확인했다.

한편, 매체는 에스코바 등장 소식을 보도하며, 비싼 가격 때문에 사이버 범죄 조직 사이에서 얼마나 널리 유포될 것인지 가늠하기 어렵다고 전했다. 다만, 공격 수법과 잠재적인 피해가 매우 크다는 점에서 많은 해커가 눈여겨볼 수 있다고 덧붙였다.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]