새로운 'Octo' 악성 코드는 안드로이드 사용자를 속여 은행 정보를 빼내간다고 RNZ에서 보도했다.  

Netsafe는 뉴질랜드인들이 정교한 새로운 악성 코드에 속아 은행 정보를 유출했다는 사실을 알지 못하지만 그들이 깨닫지 못한 채 그럴 가능성이 있다고 말했다.

호주의 ABC News에서는 러시아 사이버 범죄자들이 'Octo'라는 악성 코드를 사용하여 태즈먼 전역의 수백 명의 은행 고객을 표적으로 삼았다고 보도했다.

이 사기는 가짜 로그인 화면을 사용하여 Android 휴대폰 사용자를 속여 은행 정보를 빼내어 간다.

Netsafe의 최고 온라인 안전 책임자인 Sean Lyons는 이 악성 코드가 사람들의 은행 계좌를 공격했을 뿐만 아니라 휴대폰을 종료하여 조치를 취할 수 없게 만들기 때문에 "매우 불쾌한 악성 코드"라고 말했다.

ANZ와 Westpac을 포함한 호주 15개 은행의 고객들이 스캠에 걸려들었다. 호주 소비자 옹호자들은 호주가 소프트 타겟으로 간주된다고 경고했다.

그러나 Netsafe의 Sean Lyons는 누구든지 사이버 범죄의 피해자가 될 수 있기 때문에 이는 오해의 소지가 있다고 말했다. 그는 기술은 끊임없이 변하고 있으며, 새 기술은 기존 메커니즘을 사용하여 더욱 정교해지고 발전하며 이러한 것에 속지 않도록 해야 하는 팁과 요령으로 극복해야 한다고 덧붙였다. 

Sean Lyons는 범죄자들이 연령대를 불문하고 실제로 은행 계좌를 가진 모든 사람들을 표적으로 삼고 있으며 그 중 상당수가 뉴질랜드인이라고 강조했다.

'Octo'는 Samsung, Google, HTC와 같은 브랜드의 안드로이드(Android) 휴대폰을 표적으로 삼고 있으며, 스마트폰 앱을 검색하여 설치하는 구글 플레이 스토어(Google Play Store)에서 합법적인 앱처럼 보이는 곳에 숨겨져 있을 수 있다.

Android 휴대폰의 소프트웨어 작동 방식으로 인해 독립적으로 다운로드하여 설치할 수도 있다.

Netsafe의 Sean Lyons는 사람들이 'Octo'를 휴대폰에 저장하는 앱과 소프트웨어를 다운로드할 때 주의해야 한다고 말했다.

그는 사용자가 다운로드하는 것이 무엇인지 좀 더 주의 깊게 살펴보고 설치하는 앱에 어떤 권한을 부여하는지 좀 더 자세히 살펴볼 수 있을 것이라고 말했다.

구글 플레이 스토어에서 앱 설치할 때, 접근성 서비스(Accessibility Services) 유의

구글 플레이 스토어(Google Play Store)를 이용해 앱을 설치할 때, 설치 중인 항목에 주의를 기울여야 한다. 꼭 필요한 경우가 아니면 접근성 서비스(Accessibility Services)를 켜지 말아야 하며, 이를 요청하는 앱을 의심하여야 한다.

전문가들은 모바일 악성 코드의 99%가 장애가 있는 사람들을 돕기 위해 고안된 접근성 서비스(Accessibility Services)에 의존한다며, 이는 사용자에게 많은 기능과 권한을 제공하고 해커가 활용할 수 있는 강력한 도구라고 말했다. 모든 악성 코드는 처음부터 이 권한을 요구할 것이며, 애플리케이션이 시작되는 순간 이를 요청할 것이다.

전문가들은 범죄자들이 가장하고 있는 응용 프로그램을 실행하는 데 매우 필수적인 것으로 그리려고 노력할 것이라며, 어떤 앱에도 이런 종류의 접근성 서비스(Accessibility Services) 권한을 부여해서는 안 된다. 

내 휴대폰이 해킹되었는지 어떻게 알 수 있나?

확인하는 한 가지 방법은 휴대폰 설정(Settings)으로 이동한 다음 접근성(Accessibility) 페이지로 이동하여 파일 관리자(File Managers)나 QR 코드 스캐너(QR Code Scanners)와 같은 의심스러운 앱이 있는지 확인하는 것이다.

장치가 감염된 경우 휴대폰이 깜박이기 시작하거나 홈 화면으로 돌아가려고 시도한 것처럼 설정 페이지가 자동으로 종료되어 이 페이지에 액세스하지 못할 수도 있다.

전문가는 많은 맬웨어(Malware) 계열이 애플리케이션을 제거할 수 있는 특정 부분에 들어갈 때마다 사용자를 설정 페이지에서 강제로 내보내는 일종의 방어 메커니즘을 갖고 있기 때문에 이는 확실히 장치가 감염되었다는 표시라고 말했다. 

휴대폰이 감염된 경우 어떻게 해야 하나?

가장 안전한 방법은 전체 공장 초기화이다.

Octo는 어떤 악성코드인가? 

Octo는 안드로이드 사용자를 표적으로 삼는 뱅킹 트로이목마인 안드로이드 악성코드의 이름이다. Octo는 2018년까지 활동했으며 금융 기관을 표적으로 삼았던 ExobotCompact라는 또 다른 은행용 트로이 목마와 매우 유사하다.

Octo 뱅킹 트로이목마 상세정보

Octo 뱅킹 트로이 목마는 원격 액세스 기능을 갖추고 있으며 탐지 방지 및 제거 방지 기술을 사용한다. 원격 액세스 기능을 통해 Octo 배후의 사이버 범죄자는 기기 내 사기를 수행할 수 있다. 그러나 이는 사용자가 접근성 서비스를 활성화하지 않으면 발생할 수 없다.

Octo는 실시간으로 화면 콘텐츠를 캡처하고, 뱅킹 및 기타 앱에 대한 오버레이 공격을 수행하고, 키 입력을 기록할 수 있는 것으로 알려져 있다. 이러한 기능을 통해 공격자는 입력된 자격 증명, 장치 잠금 해제에 사용되는 잠금 패턴 또는 PIN, Chrome 브라우저의 웹사이트를 캡처할 수 있다. 또한 클릭한 요소에 대한 정보를 수집하고(장치에서 수행된 모든 클릭/탭을 캡처) 연락처를 훔쳐갈 수 있다.

또한 Octo 악성코드는 C2 서버로부터 명령을 받아 지정된 앱의 푸시 알림을 차단하고, SMS 차단을 비활성화 및 활성화하고, 트로이 목마를 중지하고, 웹사이트를 열고, 푸시 알림을 표시하고, 앱을 실행하고, 문자 메시지를 보내는 등의 작업을 수행할 수 있다.

만약 Octo 악성코드가 스마트폰에 침입했을 경우, 이를 제거하기 위해서는 합법적인 바이러스 백신 소프프웨어로 모바일을 검사한 후 조치를 취해야 한다.

일반적인 Octo 뱅킹 트로이 목마

Octo는 감염된 Android 기기에 설치된 뱅킹 애플리케이션과 기타 모든 앱을 위험에 빠뜨리는 위험한 악성 코드로, 화면에 표시된 모든 애플리케이션의 내용을 읽을 수 있다. Android 뱅킹 트로이 목마의 더 많은 예로는 Escobar, Xenomorph 및 Medusa가 있다.

Octo는 어떻게 내 장치에 침투하는가?

Octo 뱅킹 트로이 목마는 Google Play 스토어의 악성 웹사이트 및 드로퍼 앱(예: "Fast Cleaner", "Pocket Screencaster")을 통해 배포된다. 또한 Octo는 가짜 소프트웨어 업데이트(예: Google Chrome, Play Store 업데이트)를 사용하여 배포된다. Octo는 렌탈 뱅킹으로 다양한 캠페인을 운영하는 수많은 위협 행위자가 이를 사용할 수 있다(이 악성 코드를 배포하기 위해 다양한 방법을 사용함).

악성코드 설치를 피하는 방법은 무엇인가?

바이러스 백신 소프트웨어를 다운로드하고 바이러스 공격으로부터 장치를 보호해야 한다. 의심스러운 애플리케이션(예: 리뷰 수가 적은 앱)을 다운로드하지 말아야 하며, 파일과 앱을 다운로드하려면 항상 합법적인 소스를 사용하여야 한다. 앱을 다운로드하기 전에는 애플리케이션의 리뷰를 읽어보고 검토하여야 한다. 

의심스러운 이메일이나 문자 메시지에 포함된 링크를 열지 말아야 한다. 수상한 웹사이트에 표시되는 광고 및 알림을 신뢰하지 말아야 한다.

악성 코드 'Octo', 호주 ABC News에서 상세하게 보도해

호주 언론매체 ABC News에서 사이버 범죄자들이 가짜 로그인 페이지를 사용하여 은행 정보를 훔치는 방법과 예방 방법 등에 대해 상세하게 보도했다. 아래는 ABC News에서 보도된 내용이다. 

러시아 사이버범죄자들은 정교하고 새로운 악성코드 캠페인을 통해 호주 주요 은행들을 표적으로 삼았고 특히 호주인들을 노리고 있다고 전했다.

의심할 여지가 없는 피해자들이 은행 앱의 가짜 로그인 페이지로 사기를 당하고 있는데, 이는 기술에 정통한 사람의 눈에도 진짜처럼 보인다.

이러한 가짜 로그인 페이지 중 하나에 세부 정보를 입력하면 은행 세부 정보가 사기꾼에게 직접 전송될 것이다. 이는 Octo라고 하는 비교적 새로운 악성 코드이며 다크 웹에서 개인적으로 구입할 수 있는 사이버 범죄자의 최신 제품이다.

그 창조자는 스스로를 건축가 또는 "행운"이라고 부르는 수상한 인물(또는 인물)이다.

악성 코드는 강력하다. 통화를 녹음하고, 연락처를 수집하고, 바이러스 백신을 회피하고, 다단계 인증을 우회하고, 입력한 내용을 기록하고, 문자 메시지를 보낼 수 있다.

또한 해커가 위와 같은 실제 앱 위에 가짜 로그인 페이지를 겹쳐서 자격 증명을 포기하도록 속일 때 발생하는 오버레이 공격을 수행할 수도 있다.

ABC가 입수한 독점적인 새로운 데이터를 통해 호주인이 특정 대상으로 확인된 악성 코드의 첫 번째 주요 배포 캠페인으로 보이는 것이 밝혀졌다.

호주 은행 중 사기에 노출된 곳은 ANZ, Bank Australia, Bank of Melbourne, BankSA, BankWest,

Beyond Bank, Bendigo Bank, Commbank, Greater Bank, HSBC, myRAMS, NAB, St George, Westpac 등이다. 

수백 명의 호주인들이 악성 악성 코드가 나타난 지 며칠 만에 자신의 장치에 이 악성 코드를 다운로드하도록 유도되었다. Octo는 Android 휴대폰(삼성, Google, HTC 등의 브랜드)을 대상으로 하며 Google Play 스토어의 합법적인 앱처럼 보이는 곳에 숨겨져 있을 수 있다. Google Play 스토어는 세계 최대의 기술 회사 중 하나에서 운영하기 때문에 대부분의 사용자가 신뢰한다. Android 휴대폰의 소프트웨어 작동 방식으로 인해 Google Play 스토어와 별도로 다운로드하여 설치할 수도 있다.

런던에 본사를 둔 시장 조사 회사인 Kantar WorldPanel에 따르면 호주에서는 52.9%의 사람들이 Android 기기를 소유하고 있으며 iPhone 사용자의 47.1%가 소유하고 있다.

'서비스형 악성코드'를 파는 해커들

악성 코드 Octo는 네덜란드에 본사를 둔 은행 보안 플랫폼인 ThreatFabric의 수석 위협 분석가인 다리오 두란도(Dario Durando)에 의해 밝혀졌다.

악성코드 광고

사이버범죄자들은 다른 사기꾼들이 구매할 수 있는 제품으로 Octo와 같은 악성코드를 제공한다. 다리오 두란도는 이 악성코드가 Google Chrome 모바일 브라우저의 업데이트로 위장한 것을 발견했다.

웹사이트 백엔드의 숨겨진 카운터를 보면 호주에서는 533건, 스페인에서는 362건, 미국에서는 64건의 다운로드가 발생한 것으로 나타났다. 해당 카운터는 이후 삭제되었다.

다리오 두란도는 이것이 해커들이 Octo와 같은 것을 만들어 다른 범죄자들에게 임대한 후 배포하는 "서비스형 악성코드(Malware as a Service)"라고 불리는 이같은 악성코드가 증가 추세라고 말했다. 그는 모든 사람들은 일반 기업과 마찬가지로 협력하고 있고, 구독 제도, 할인 혜택, 지원 채널이 있다는 점은 매우 우려스럽다고 말했다.

Octo를 돋보이게 하는 광고는 이 악성 코드가 "높은 생존율"을 갖고 있으며 해커에게 "완전한 장치 제어"를 제공하고 2단계 인증 코드를 훔칠 수 있는 능력을 갖추고 있다고 자랑하고 있다. 한때 데스크톱 컴퓨터만을 표적으로 삼았던 악성코드에서도 같은 일이 일어났다.

다리오 두란도는 요즘은 모바일이 우세해지면서 범죄자들이 실제로 연구에 투자하고 더 많은 모바일 악성 코드를 생성해야 할 때라고 판단하고 있다며, 거기에 돈이 있기 때문이라고 분석했다. 

Octo 만든 사이버 범죄자, 러시아와 연결 가능성

ThreatFabric의 사기 엔지니어링 담당 부사장인 Eward Driehuis는 Octo를 담당하는 그룹이 러시아어를 사용하며 러시아 사이버 범죄 지하세계와 연관되었을 가능성이 있다고 말했다.

다리오 두란도는 범죄자들이 힘들게 벌어들인 현금을 노리고 있다고 조심할 것을 경고했다.

호주경쟁소비자위원회(Australian Competition and Consumer Commission)의 보고서에 따르면 지난해 사기로 인해 손실된 금액은 31억 달러 이상으로, 이는 2021년보다 80% 증가한 수치이다.

사람들을 속여 은행 정보와 같은 민감한 정보를 넘겨주는 피싱으로 인한 손실은 2,460만 달러로 2021년보다 469% 증가했다. 그 돈의 대부분인 2,010만 달러는 은행 송금을 통해 도난당했다.

기업 규제 기관인 ASIC의 또 다른 보고서에 따르면 4대 은행이 고객에게 2~5%의 비율로 상환한 것으로 나타났다.

은행 플랫폼에서 발생하는 스캠, 은행에서 책임져야...

호주의 소비자 행동 법률 센터의 스테파니 톤킨은 호주 은행들이 점점 더 교묘해지는 사기에 속고 있는 고객을 보호하기 위해 충분한 노력을 기울이지 않고 있다고 말했다. 그녀는 호주가 사기 발생을 방지할 수 있는 법률과 시스템이 없기 때문에 사기꾼들의 쉬운 표적이 된다며, 스캠이 은행 플랫폼에서 일어나고 있기 때문에 은행 부문에 더 많은 책임을 져야 한다고 촉구했다.

그녀는 지금 호주에는 수십억 달러의 기록적인 수익을 올리는 은행이 있지만, 자신의 잘못 없이 사기를 당한 대가를 치르는 것은 호주인들이라고 지적했다.

호주 은행 협회(Australian Banking Association) 대변인은 회원들이 업계 전반에 걸쳐 시행될 수 있는 사기 방지 조치에 관해 논의할 것이라고 말했다.