20.11.16 ( 금융 관련 앱 분석 결과 루팅 탐지 우회 가능, 정보보호 전제가 되어야 디지털 뉴딜 확장, 브라질 공격 그룹 7개국 11개 금융앱 해킹 트로이목마 유포중 )

1. 금융 관련 앱 분석 결과 루팅 탐지 우회 가능

 

금융 모의해킹 전문 기업인 블랙팔콘 시큐리티는 자체 개발한 안드로이드 앱 자동 분석 솔루션으로 국내 금융 관련 앱 다수를 분석한 결과, 루팅 탐지에 사용되는 패턴이 정형화되어 있어 어렵지 않게 루팅 탐지를 우회할 수 있다고 합니다.😀

 

관련앱에서 사용되고 있는 루팅 탐지 패턴은 다음과 같다고 합니다.😀

- 패키지 매니저로 설치된 패키지 확인

- 설치된 파일에 대한 접근 또는 상태 확인

- ro.debuggable 등 시스템 속성 확인

- 쉘 커맨드로 루팅 흔적 확인(which su 등)

- /sbin 등 디렉터리 권한 확인

 

또한 위 패턴들을 참고하여 제작한 범용적인 우회 도구를 통해 다음과 같은 여러 앱들도 우회할 수 있었다고 합니다.

- 국내 은행 21개 앱

- 카드사 3개 앱

- 증권사 7개 앱

- 핀테크 3개 앱

- 코인거래소 2개 앱

 

이는 별도의 커스터마이징 없이 앱 설치와 동시에 루팅 탐지를 우회할 수 있었다고 합니다.😀

 

이에 "최근 루팅 탐지 트렌드는 암호화, 난독화, 동적 모듈 등을 이용하여 분석을 어렵게 하는데 초점을 맞추고 있다. 이러한 방향성이 잘못된 것은 아니지만, 루팅 탐지 패턴의 다각화도 병행해야 한다."고 언급했답니다😁

 

 

 

2. 정보보호 전제가 되어야 디지털 뉴딜 확장

 

개인정보보호에 대한 국민의 신뢰가 전제된다면 각종 디지털 뉴딜 정책의 폭과 깊이도 더욱 확장될 것으로 생각합니다.

지난 13일 개인정보보호위원회(개보위)는 과학기술정보통신부(과기부)와의 업무협약(MOU)식을 가졌다고 합니다.

 

이는 디지털 경제 시대 데이터를 안전하게 활용하기 위한 환경 마련을 하기 위함이라고 합니다.😀

 

두 기관은 정부의 디지털 뉴딜 정책을 성공적으로 실현하기 위해 데이터 보호가 밑바탕이 되야 한다는 점에 공감했다고 합니다.

 

개보위의 윤종인 위원장은 "데이터 경제 성공의 핵심 전제는 개인정보보호에 대한 국민의 신뢰이다. 데이터 보호가 전제되지 않는 활용은 지속될 수 없고, 데이터를 잘 활용하려면 제대로 보호되어야 한다."라며 강조했다고 합니다.😁

 

이번 MOU로 양 측은 인공지능 학습용 데이터 구축 관련 개인정보보호 강화 표준안을 마련한다고 합니다. 또한 데이터 가명정보 처리·결합과 활성화를 지원하는 민관 합동 협의체 구성도 한다고 합니다.😀

 

특히 사이버 침해사고로 인한 개인정보 유출에 효과적으로 대응하기 위해 침해사고 핫라인도 구축하기로 했다고 합니다. 이를 통해 사고조사분석, 피해지원 등 전 과정에 걸쳐 협업 기능을 강화한다는 방침이라고 합니다.

 

대규모 개인정보 유출사고가 발생한 경우 과기부 주관의 민관 합동조사단과, 개보위 주관의 정부합동조사단을 통합한 공동 대응체계를 운영해 신속히 대응하겠다고 합니다.😀

 

 

 

3. 브라질 공격 그룹 7개국 11개 금융앱 해킹 트로이목마 유포중

 

카스퍼스키 GReAT팀은 브라질, 라틴 아메리카, 유럽의 금융 기관을 노리는 브라질 뱅킹 트로이목마 'Tetrade'를 발견한 지 4개월이 지난 후, 모바일 기기를 스파이웨어로 감염시키기 위한 전략을 추가했다고 합니다.🤨

 

카스퍼스키 분석에 따르면, 브라질의 공격 그룹인 Guildma는 여러 나라의 은행, 핀테크회사, 거래소, 가상화폐 앱을 노리는 안드로이드 뱅킹 트로이목마인 'Ghimob'을 배포했다고 합니다.

 

Ghimob는 완전한 기능을 갖춘 모바일 스파이라고 합니다. 일단 감염되면 해커는 기기에 원격으로 접근하여 피해자의 스마트폰에서 사기 거래가 가능하다고 합니다. 또한, 기기 식별, 금융 기관이 구현한 보안 장치, 시스템의 사기 방지 장치를 우회하는 것도 가능하다고 합니다.😮

 

Guildma와 동일한 인프라를 공유하는 것 외에도 Ghimob는 피싱 이메일을 통해 악성코드를 배포해 사용자가 Ghimob APK 인스톨러를 다운로드하는 악성 URL을 클릭하도록 유도한다고 합니다.

 

이 트로이목마가 설치되면 다른 모바일 RAT와 상당히 유사한 행동을 한다고 합니다.

 

유사한 행동은 다음과 같습니다.😀

- 앱 아이콘 숨김

- 지속성을 위한 안드로이드의 접근성 기능 악용

- 수동 언인스톨 비활성화

- 뱅킹 트로이목마가 키 입력 캡쳐

- 스크린 내용 조작

- 공격자가 원격으로 기기를 완전히 제어

 

사용자의 폰에 화면 잠금 패턴이 있더라도, Ghimob는 이를 기록하고 추후 재생해 기기의 잠금을 해제할 수 있다고 합니다.

 

Ghimob는 모바일 앱 총 153개를 공격한다고 합니다. 이 중 112개는 브라일 금융 관련기관이며 나머지는 각 여러나라의 가상화폐 및 뱅킹 앱이라고 합니다.😀

 

 

 

 

 

 

 

 

 

출처

www.boannews.com/media/view.asp?idx=92597&page=1&mkind=1&kind=

블랙팔콘 시큐리티 “금융 관련 앱 분석해보니... 루팅 탐지 우회 가능”

www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=&menu_dist=1&seq=29683&key=&dir_group_dist=&dir_code=&searchDate=

윤종인 개보위 "정보보호 전제돼야 '디지털 뉴딜' 확장"

www.dailysecu.com/news/articleView.html?idxno=116314

브라질 공격 그룹, 7개국 112개 금융앱 해킹 트로이목마 유포중…주의 - 데일리시큐