문자메시지를 통한 이중인증은 은행들이 많이 사용하는 방식이다. 이중인증은 물론 암호만 확인하는 방식보다는 안전하지만 결코 무적은 아니며 보안전문가 그리고 맬웨어제작자들은 10년 전 이중인증이 널리 채택되기 시작할 당시에 이미 이를 어떻게 속일 수 있는지 간파해 냈다. 그렇기 때문에 트로이목마 제작자들은 일회용 문자메시지 인증을 어렵지 않게 뚫을 수 있으며 그 과정은 다음과 같다.

1. 사용자가 스마트폰에서 정상적인 뱅킹 앱을 실행한다.

2. 트로이목마가 뱅킹 앱을 탐지하고 해당 앱의 인터페이스를 복사하여 자신을 위장한다. 이 경우 가짜 화면과 원래 화면과 동일하게 보인다.

3. 사용자가 가짜 앱에 로그인 아이디와 비밀번호를 입력한다.

4. 트로이목마가 범죄자 측에 로그인 정보를 전송하면 범죄자가 이 정보를 이용하여 사용자의 뱅킹 앱에 접속한다.

5. 범죄자가 자신의 계좌로 돈을 이체하는 과정을 개시한다.

6. 원래 사용자의 스마트폰에 일회용 인증번호가 문자메시지로 전송된다.

7. 트로이목마가 문자메시지에서 비밀번호를 추출하여 범죄자 측에 전송한다.

8. 트로이목마는 해당 문자메시지를 사용자가 확인하지 못하도록 한다. 따라서 원래 사용자는 실제로 계좌이체내역을 확인하기 전까지는 트로이목마의 해킹과정을 알지 못한다.

9. 범죄자는 전송받은 인증번호를 통해 이체를 완료하고 돈을 챙긴다.


오늘날의 뱅킹 트로이목마라면 하나같이 문자메시지 이중인증을 속일 수 있다는 말은 결코 과장이 아니다. 사실 맬웨어제작자들은 은행들이 이중인증과 같은 방어대책을 채택하는 데 적응하는 것일 뿐이다.


사실 위와 같은 해킹이 가능한 악성앱은 결코 적지 않다. 카스퍼스키 연구진은 최근 몇 개월에 걸쳐 3종의 맬웨어에 대한 상세 소개글을 작성한 바 있으며 이를 간략히 요약하면 다음과 같다.

1. Asacub: 본래 스파이앱이었으나 트로이목마로 개량된 후 모바일뱅킹에서 돈을 빼돌릴 수 있다.

2. Acecard: 30종에 달하는 뱅킹앱 인터페이스를 복제할 수 있는 강력한 트로이목마로 현재 모바일맬웨어는 Acecard의 방식을 따르는 추세에 있다. 예전 트로이목마가 하나의 정해진 은행이나 결제서비스를 표적으로 삼았다면 오늘날의 트로이목마는 여러 앱을 동시에 위조할 수 있다.

3. Banloader: 브라질에서 만들어진 트로이목마로 컴퓨터와 스마트폰에서 동시에 실행될 수 있다.


결국 오늘날의 뱅킹트로이목마를 막기에 이중인증은 역부족이다. 이는 사실 몇 년 전부터  이미 존재했던 문제며 앞으로도 이 상황이 변하지는 않을 것으로 보인다. 그렇기 때문에 추가적인 보안대책이 필요하다. 우선 공식 채널을 통해서만 앱을 설치하도록 해야 하지만 구글 플레이스토어나 애플 앱스토어에 트로이목마가 침투한 사례가 있기 때문에 이 방법도 완전히 신뢰할 수는 없다. 따라서 카스퍼스키 솔루션과 같은 우수한 모바일 안티바이러스를 설치하여 사용할 필요가 있다.


<참고: 카스퍼스키 안티바이러스 상세정보>




Alex Drozhzhin, How banking Trojans bypass two-factor authentication, 3. 11. 2016.

https://usblog.kaspersky.com/banking-trojans-bypass-2fa/6849/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.08 13:03

위로가기