카스퍼스키 "Riltok 새 변종, 유럽 시작으로 유포 중"

by한광범 기자
2019.08.21 16:26:41

''메시지 URL 유의''·''앱 권한 확인'' 등 당부

[이데일리 한광범 기자] 글로벌 사이버 보안 전문회사인 카스퍼스키는 자사 연구진이 지난해 중반 최초 발견된 금전 탈취 목적의 모바일 악성 코드 ‘Riltok’ 새로운 변종을 발견했다고 21일 밝혔다.

그러면서 Riltok 새 변종은 프랑스와 이탈리아, 영국에서 인기 있는 서비스로 위장해 유포되며 유럽을 시작으로 세계 각국으로 퍼져 나가고 있다고 전했다.

뱅킹 트로이목마 Riltok은 기본적으로 로그인 정보를 훔치고 온라인 뱅킹 세션을 하이재킹하는 등 피해자의 금융 계좌와 자산에 접근하도록 고안된 악성코드이기 때문에 스마트폰 사용자에게 큰 위협이 된다.

트로이목마는 합법적 웹서비스 및 앱으로 위장해 설치를 유도한 후 사용자 로그인 정보와 민감한 데이터를 입력하게 만드는 경우가 많다.

‘Real Talk’에서 유래한 Riltok 트로이목마은 사용자에게 인기 무료 광고 웹사이트와 매우 유사한 허위 웹사이트 링크를 포함한 SMS 메시지를 보내는 것으로 시작된다.

웹사이트로 가보면 사용자에게 해당 서비스의 새로운 모바일 앱 버전을 사용해 보도록 안내하며 실제로는 Riltok 악성코드를 심는다.

다운로드 후 피해자에게서 필요한 권한을 확보하면 이 악성코드는 기본 SMS 수신 및 조회 앱으로 자동 설정된다.



이를 통해 공격자는 은행 카드 사용에 쓰이는 확인 코드 등 모든 SMS 메시지를 읽고 다른 번호로 SMS를 보내 악성코드를 추가 유포한다.

주요 수법을 보면, 우선 허위의 구글플레이 앱 화면을 표시하고 피해자에게 결제 카드 정보를 입력하도록 해 은행 카드 정보 도난. 카드 번호 입력 시 숫자 수를 확인하는 등 제공된 정보가 올바른지 확인하는 작업까지 수행한다.

또 뱅킹 앱과 유사한 화면을 표시하거나 브라우저에서 피싱 페이지를 열어 은행 계좌 로그인 정보를 훔쳐간다. 아울러 보안 솔루션이나 기기 안전성 관련 설정 등 다른 앱의 활동 및 설정 숨기기도 한다. 합법적인 뱅킹 앱의 알림을 숨기기까지 한다.

카스퍼스키 제품은 Trojan-Banker.AndroidOS.Riltok을 위협으로 탐지한다. 카스퍼스키랩은 Riltok 트로이목마와 같은 금융 악성코드로부터 사용자를 보호하기 위한 조치를 권고하고 있다.

구체적으로는 △SMS 메시지의 의심스러운 링크는 클릭하지 않고 △출처를 알 수 없는 프로그램 설치를 차단하고 공식 앱 스토어에서 다운로드한 앱만 설치하고 △앱이 요청하는 권한에 주의를 기울이고 △악성 소프트웨어와 관련 작업으로부터 기기를 보호할 수 있는 강력한 보안 솔루션을 사용하도록 했다.

이창훈 카스퍼스키코리아 지사장은 “Riltok 악성코드가 느리지만 꾸준한 속도로 러시아 전역에 유포되는 것을 주시하고 있다. 배후에 있는 사이버범죄자들이 유럽을 시작으로 새 국가·대륙에 대한 공격을 감행할 것”이라고 전망했다.

그는 “유사 사례는 여러 차례 있었다. 공격자가 효과적 악성코드를 만들고 이를 러시아에서 테스트한 뒤 같은 방식을 통해 해외로 유포해 새로운 지역으로 피해가 확장된다”며 “이런 위협은 보통 전 세계로 확장된다”고 설명했다.