PayPal 앱 터는 악성코드

안드로이드 스마트폰에서 페이팔 앱에 로그인할 때, 해커의 계좌로 송금을 하는 악성 앱이 발견됐다. 'Optimization Android'라는 앱으로 배터리 최적화 앱으로 위장했다. 구글 플레이가 아닌 제3자(third-party) 스토어에서 유포되고 있다.

접근성(accessibility) 기능 이용

페이팔 앱을 공격할 때는 안드로이드의 접근성 권한을 요구한다. 접근성 설정은 원래 장애가 있는 사람의 편의를 위한 것이지만, 보통 사람이 써도 편리한 기능들이 있다. 특성상 악성코드에 많이 이용되기도 한다.

이 악성 앱은 기능상 필요하다며 'observe your actions'와 'retrieve window content'라는 접근성 권한을 요청한다. 이를 통해 사용자가 특정 앱을 사용하는 것과 앱에 표시되는 내용을 감시할 수 있다.

사용자가 페이팔 앱에 로그인할 때마다 해커의 계좌로 무단 송금을 한다. 페이팔 계정에 충분한 잔고가 있거나 연결된 결제 수단이 있는 경우, 이 과정은 5초 정도밖에 걸리지 않는다. 워낙 순식간이라 알아차리거나 막기 어렵다.

긴급하게 계정을 검증하라는 등의 가짜 알림으로 로그인을 유도하기도 한다.

피해자가 로그인한 후에 공격이 일어나기 때문에 2단계 인증도 아무 소용이 없다. 로그인 자체는 피해자에 의해 적법하게 이뤄지기 때문이다.

페이팔은 전화번호나 이메일 주소로 송금을 하는데, 로그인만 하면 거래 시엔 별도의 인증 절차가 없다. 매 거래 시마다 결제비밀번호 등을 요구하는 우리 나라의 간편결제 서비스보다 취약하다. 그래서 이런 악성코드의 공격이 가능한 것이다.

오버레이 공격(overlay attack)

이 악성 앱은 페이팔 외에도 많은 앱들의 정보를 탈취하는 기능도 한다. 이때는 오버레이 공격을 하는데, 정상 앱 위에 가짜 화면을 띄워서 입력 정보를 가로채는 것이다. '다른 앱 위에 그리기' 권한이 필요하다.

표적이 된 앱은 은행 앱들과 구글 플레이, 왓츠앱, 스카이프, 지메일, 우버, 넷플릭스 등이다. 이 목록은 언제든 업데이트될 수 있다.

오버레이 공격은 많은 악성코드가 사용하는데, 이 앱은 다소 특이하다. 가짜 화면이 고정이 되어 다른 화면으로 전환할 수가 없다. 마치 랜섬웨어에 의해 화면이 잠긴 것과 같다. 빠져나오려면 엉터리 정보라도 입력해야 한다.

이런 트로이목마 류의 악성코드를 피하려면 접근성 권한, 다른 앱 위에 그리기 권한 등을 요구하는 앱을 주의해야 한다. 화면이 잠겼거나 악성 앱 제거를 위해서는 랜섬웨어처럼 다루면 되겠다.


관련 자료
  1. Razdel, 은행 앱 노리는 악성코드
  2. 랜섬웨어 대응책

참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다