알림을 가로채 2단계 인증을 우회하는 악성코드

Google Play에서 발견

안드로이드 스마트폰의 상단 알림 내용을 가로채, 2단계 인증을 우회하는 악성코드가 발견됐다. 구글 플레이에 터키의 가상화폐 거래소인 BtcTurk를 사칭한 앱으로 등록돼 있었다. 이와 유사한 다른 가짜 앱들도 발견됐는데, 이를 발견한 ESET은 Android/FakeApp.KP로 탐지한다.

SMS(문자 메시지)는 낡은 기술로 보안성이 좋지 않다. 통신 인프라에서 전송 중 가로채질 수도 있고, SIM swapping(관1)으로 탈취당할 수도 있다. 스마트폰에서 악성코드에 의해 낚일 수도 있다.

구글은 악성코드에 의한 탈취를 막고자, 2019.3월부터 앱이 원칙적으로 SMS와 통화 기록에 접근하지 못하도록 했다. SMS를 가로채 2단계 인증을 우회하던 해커로선 다른 방법이 필요했다. 이런 배경에서 등장한 수법이 푸시 알림(push notification)을 가로채는 것이다.

푸시 알림 가로채기

SMS, 이메일, 카카오톡을 비롯한 SNS 등 알림이 오면, 내용 일부가 표시된다. 따라서 이들 알림을 보낸 앱에 직접 접근할 권한이 없더라도, 여기에서 내용이 노출될 수 있다. 스마트폰이 잠금 상태여서, 실제로 알림이 화면에 표시되지 않더라도 상관 없이 탈취할 수 있다.

물론, 알림에 접근하려면 사용자에게 그림처럼 권한을 요청해야 한다(참1).



알림 접근 권한은 꽤 강력하다. 알림의 내용을 읽을 수 있는데, 여기에는 연락처 이름이나 메시지 내용 등 개인 정보가 포함될 수 있다. 그리고 알림을 지우거나 그 안에 있는 버튼을 클릭하는 행동을 할 수도 있다. 알림 접근 권한을 얻은 앱은 방해 금지 모드를 켜거나 끄는 등 관련 설정을 변경할 수도 있다. 따라서 이 권한을 허용할 때는 특히 주의해야 한다.

SMS나 이메일 인증은 취약

이번에 발견된 가짜 앱은 정상적인 서비스를 가장하여 로그인 화면을 띄운다. 입력한 정보는 해커의 서버로 전송된다. 그리고 일시적인 서비스 점검 등을 핑계로 지금은 이용할 수 없다고 속인다. 피해자가 계정의 이상 활동을 눈치채지 못하게 하기 위한 것이다.

그 사이에 탈취한 로그인 정보로 로그인을 시도한다. 알림 접근 권한을 얻었으므로, SMS나 이메일로 전송된 2단계 인증 코드를 가로챌 수 있다. 그리고 알림을 지워 흔적을 없앤다.

알림에서 탈취할 수 있는 정보는 알림난에 표시될 수 있는 내용에 한한다. 알림은 전체 내용을 보여주는 것은 아니므로, 긴 내용의 경우 앞부분만 탈취된다. 따라서 SMS로 전송되는 코드는 거의 확실하게 탈취할 수 있지만, 이메일은 장담할 수 없다.

일반적으로 SMS와 이메일은 보안성이 낮다. 스마트폰을 2단계 인증 수단으로 사용하려면, Google OTP나 Microsoft Authenticator 같은 인증 앱을 이용하는 게 좋다.

가짜 가상화폐 앱 주의

가상화폐 관련 앱은 가짜 앱이 많은 분야의 하나다. 가상화폐 종류나 서비스가 많아 혼동하기 쉬운 데다, 어떤 서비스를 제공하는지 정확하게 알기 어렵기 때문이다. 이전에도 POLONIEX, MyEtherWallet 등 실제로는 모바일 앱을 제공하지 않는 서비스를 사칭한 가짜 앱이 구글 플레이에서 유통된 적이 있다.

이런 위험을 피하기 위해서는, 해당 서비스의 공식 사이트에서 모바일 앱을 제공하는지 확인하고, 거기에 있는 링크(플레이 스토어로 연결되는)를 이용해 앱을 다운로드하는 것이 좋다. 플레이 스토어에서 직접 검색하면 비슷한 것이 너무 많이 나온다. 그 중 상당 수는 가짜다.

또 하나 구글의 허술한 스토어 관리도 문제다. 이번 일만 해도, 연속해서 3개의 가짜 앱이 발견됐다. 순서대로 BTCTurk Pro Beta, BtcTurk Pro Beta, BTCTURK PRO이 나왔다. 이들은 작동 방식이나 외관 생김새가 거의 같다. 심지어 두번째와 세번째는 동일한 개발자 계정으로 등록됐다.

하나가 발각돼 삭제되면 다음 것을 업로드하는 식이다. 이렇게 사실상 동일한 앱을 이름만 바꿔 제출해도 계속해서 스토어에 등록이 되는 것이다. 이런 일이 이번 뿐만이 아니다. 큰 문제다.


관련 자료
  1. 심 해킹으로 계정, 가상화폐 탈취
  2. 가짜 가상화폐 앱 주의보

참고 자료
  1. Malware sidesteps Google permissions policy with new 2FA bypass technique

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다