블로그

금융 맬웨어와 그 속임수: 모바일 맬웨어

Shahnawaz 후원자 썸네일
샤나와즈 백커
2016년 8월 25일 게시

모바일을 통한 현대적 뱅킹

모바일 기기는 디지털 사용자를 위한 주요 수단으로 빠르게 자리 잡고 있으며, 이는 금융 부문에도 영향을 미치고 있습니다. 새로운 세대에게는 모바일 친화적인 뱅킹 서비스가 필요합니다. 연방준비제도의 조사 결과 에 따르면 18~29세 연령대의 모바일 뱅킹 이용률은 67%입니다. 모바일 뱅킹을 도입하지 않는 가장 큰 이유는 보안 때문입니다. 이동성은 멈출 수 없는 힘이기 때문에 조직에서는 이러한 위험 벡터를 이해하여 위협에 적절히 대비하고 위협을 완화해야 합니다. 이 글에서는 모바일 분야에서 가장 주목할 만한 (그리고 악용되는) 취약점 몇 가지를 소개합니다.

모바일 맬웨어란?

모든 맬웨어와 마찬가지로 모바일 맬웨어는 스마트폰이나 그와 유사한 기기를 공격하기 위해 작성된 코드입니다. 모바일 맬웨어의 역사는 적어도 2000년으로 거슬러 올라가는데, 그 당시 연구원들이 최초의 모바일 맬웨어인 " TIMOFONICA "를 발견했습니다. 2016년에는 최대 90%의 안드로이드 기기를 해킹할 수 있는 " Godless "와 같은 맬웨어가 야생에서 발견되었습니다.

카스퍼스키 랩에서 실시한 분석 결과를 살펴보면 모바일 뱅킹 트로이 목마의 수가 증가하고 있음을 알 수 있습니다. 2015년 한 해 동안 약 56,194명의 사용자가 모바일 뱅킹 트로이 목마에 적어도 한 번 이상 공격을 받았습니다.

 

유형: 스파이웨어와 애드웨어, 트로이 목마와 바이러스, 피싱 앱 등

현재 활발히 활동하는 맬웨어는 스파이웨어/애드웨어, 트로이 목마 및 바이러스, 피싱 앱 또는 봇 프로세스로 분류할 수 있습니다. 그들의 유일한 목적은 귀중한 개인 정보를 빼내 빼내는 것입니다.

  • 합법적인 앱으로 위장한 스파이웨어와 애드웨어는 사용자 및 기기 정보를 수집하는 것으로 알려져 있으며, 이러한 정보는 향후 공격에 사용될 수 있습니다.
  • 트로이 목마는 기기를 납치하여 승인되지 않은 프리미엄 문자 SMS를 보냅니다. 가장 널리 퍼진 악성 프로그램은 사용자 화면을 재구성하고 합법적인 애플리케이션처럼 작동하여 은행 자격 증명이나 대역 외 일회용 비밀번호와 같은 기밀 정보를 훔칠 수 있습니다.
  • 피싱 애플리케이션은 악성 또는 리팩토링된 애플리케이션을 활용해 사용자에게 악성 콘텐츠를 전달합니다.

모바일 맬웨어가 사용하는 일반적인 취약점 및 트릭

모바일 기기는 iOS, Android, Windows 등 다양한 플랫폼을 지원합니다. iOS와 Android가 시장을 장악하고 있는 가운데, 악용되는 관련 취약점을 살펴보겠습니다.

  • 루팅 또는 탈옥된 기기 : 휴대폰을 루팅/탈옥하면 모바일 운영 체제에 루트 수준의 접근이 가능합니다. 이를 통해 사용자는 장치의 기본 동작을 수정할 수 있지만, 이 프로세스로 인해 장치의 보안 모델이 손상되므로 애플리케이션에 극심한 위험이 발생합니다. 루팅되거나 탈옥된 장치는 맬웨어와 악성 애플리케이션이 데이터를 감염시키고 유출할 수 있는 완벽한 경로를 제공합니다.
  • 중간자 공격: 이 공격 벡터는 장치와 서버 통신 사이에 끼어들어서 페이로드를 탐지하고 변경하는 제3자를 활용합니다. 모바일 기기를 사용하면 사람들이 호텔, 커피숍 및 기타 공공 장소의 무료 Wi-Fi 구역에 연결하는 경향이 있으므로 공격 벡터가 증폭됩니다.
사진: www.jscape.com

 

  • 오래된 운영 체제: 이 증후군은 iOS 사용자보다 Android 사용자에게 더 큰 영향을 미칩니다. 안드로이드 기기의 버전은 매우 다양합니다. 일부 기기는 여전히 실행 중일 수 있으며 알려진 취약점이 있는 이전 버전을 사용하고 있을 수 있어 맬웨어 공격에 좋은 온상이 될 수 있습니다.
  • SMS 그래버: 최신 적응형 인증 기술은 대역 외 인증을 활용하고 SMS는 가장 취약한 지점 중 하나인 것으로 보입니다. Android 기기에 영향을 미치는 모바일 맬웨어는 기기로 전송된 일회용 비밀번호를 훔칠 수 있습니다. 안드로이드 버전 4.3 이하에서는 맬웨어가 SMS가 받은 편지함에 나타나지 않도록 차단할 수 있어 공격이 전혀 불가능합니다. 최신 버전의 안드로이드에서는 맬웨어가 SMS가 받은 편지함에 나타나는 것을 막을 수 없으며, 사용자에게 예상치 못한 SMS에 대한 경고를 보냅니다.
  • 집중력 훔치기: 활동 하이재킹 또는 모바일 피싱은 예상되는 활동 대신 악성 활동이 시작되는 안드로이드의 취약점을 악용합니다. 비슷하게 보이는 디스플레이를 이용해 사용자는 맬웨어에 자격 증명을 제공하도록 속습니다. 이러한 공격 벡터는 일반적으로 금융 맬웨어에 의해 악용됩니다. 공격 벡터는 Android 버전 5 미만에 영향을 미치며, 이후 버전에서는 Google이 공격 벡터를 완화했습니다.
  •  

    사진: svpeng 맬웨어의 화면 샷

     

  • 다시 패키징된 애플리케이션: 맬웨어 제작자는 합법적인 애플리케이션을 얻은 뒤 악성 페이로드를 추가하여 다시 패키징하고 스팸 캠페인을 사용하고, 어떤 경우에는 대량 배포를 위해 애플리케이션을 Playstore/Appstore에 업로드하기도 합니다. Arxan Technologies에서 수행한 연구에 따르면 인기 있는 Android 앱의 80%, iOS 앱의 75%가 해킹되었습니다.
  •  

    사진: 아르크산 테크놀로지스
    • 탈옥되지 않은 iOS 맬웨어: 새로운 변종 맬웨어(예: iOS를 감염시키고 개인 API를 남용할 수 있는 악성코드(YiSpecter)가 감지되었습니다.
    • 그리고 그 외에도 수많은 악성코드 개발자들이 모바일 기기를 손상시키는 새로운 기술을 끊임없이 개발하고 있습니다.

    F5의 사기 방지 솔루션이 답입니다

    사기 방지는 기업에 최신 모바일 애플리케이션에 대한 예방적, 탐지적 완화 접근 방식을 제공합니다. 다양한 기술을 사용하여 장치의 보안 무결성을 평가합니다. 이 정보는 애플리케이션에 제공되고 조직의 위험 엔진과 공유되어 위협을 완화하고 해결합니다. 이러한 위협을 극복하는 데 도움이 되는 주요 기능은 다음과 같습니다.

    • 인증서 위조 감지: 인증서를 확인하면 중간자 공격을 방지하는 데 도움이 됩니다. 이 기능은 저장된 정보와 인증서의 유효성을 확인합니다.

    • DNS 스푸핑 감지: 서버 이름을 확인하고 저장된 정보와 비교하여 중간자 공격으로부터 방어합니다.

    • 탈옥/루팅 감지: 루트 권한을 확인하여 손상된 장치를 감지합니다.

    • 맬웨어 감지: 침해 지표를 찾고 동작 분석을 수행하여 장치에 설치된 맬웨어를 찾습니다.

    • 패치되지 않은/안전하지 않은 OS 감지: SDK는 Android 버전/iOS 버전을 계산하고 해당 정보를 애플리케이션에 제공할 수 있습니다.

    • 초점 도용 감지: 이 기능을 사용하면 악성 애플리케이션이 보호된 애플리케이션의 포커스를 훔쳤는지 감지할 수 있습니다. MobileSafe는 애플리케이션이 이 위협에 대응할 수 있도록 브로드캐스트 이벤트를 생성합니다.

    • 재포장 감지: Android 앱의 경우 솔루션은 서명을 확인하여 진위 여부를 확인하고, iOS의 경우 재패키징 여부를 확인하려면 MD5 해시를 계산하고 검증해야 합니다.

    환경 설정하기

    기존 WebSafe 환경에서 F5 MobileSafe를 활성화하여 솔루션을 설정할 수 있습니다.

     

     

  • 모바일 중심 사전 설정을 사용하여 사기 방지 솔루션 프로필을 생성/구성합니다.
  •  

     

    프로필이 생성되면 사용자가 모바일 URL에 접속할 때 알림 서버에서 알림을 받을 수 있습니다.
    • 프로필이 생성되면 사용자가 모바일 URL에 액세스할 때 알림 서버에서 알림을 사용할 수 있습니다. 

    결론

    모바일 기기는 사용자에게 편리하고 쉽게 온라인 서비스에 접근할 수 있는 기능을 제공하여 엄청난 채택을 촉진하고 있습니다. 해커들은 이 분야의 보안에 대한 이해가 부족하기 때문에 새로운 공격 벡터를 극대화하려고 노력하고 있습니다. F5의 사기 방지 솔루션은 기업에 모바일 엔드포인트에 대한 보기를 제공하고 현대적이고 정교한 위협으로부터 보호합니다.

    리소스