금전 탈취 목적 변종 모바일뱅킹 악성코드 주의보

유럽 등지에서 금전 탈취 목적 변종 모바일뱅킹 악성코드가 나타나 주의가 요구된다.

카스퍼스키 연구진은 2018년 최초 발견된 금전 탈취 목적 모바일 악성코드 '릴톡(Riltok)' 새로운 변종을 발견했다. 프랑스와 이탈리아, 영국에서 인기 있는 서비스로 위장해 유포되며 유럽을 시작으로 세계 각국으로 퍼지고 있다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

뱅킹 트로이목마 릴톡은 로그인 정보를 훔치고 온라인 뱅킹 세션을 하이재킹하는 등 피해자 금융 계좌와 자산에 접근하도록 고안된 악성코드다. 스마트폰 사용자에 위협이 된다. 트로이목마는 합법적인 웹 서비스와 앱으로 위장해 설치를 유도한 후 사용자 로그인 정보와 민감한 데이터를 입력하게 만드는 경우가 많다.

'리얼 토크'에서 이름이 유래한 릴톡 트로이목마는 대개 사용자에 인기 무료 광고 웹사이트와 매우 유사한 허위 웹사이트 링크를 포함한 SMS 메시지를 보내는 것으로 시작한다. 사용자에 해당 서비스 새로운 모바일 앱 버전을 사용하록 안내하며 실제로는 릴톡 악성코드를 심는다.

사용자가 내려받으면 피해자에 필요한 권한을 확보, 악성코드는 기본 SMS 수신과 조회 앱으로 자동 설정된다. 공격자는 은행 카드 사용에 쓰이는 확인코드 등 모든 SMS 메시지를 읽고 다른 번호로 SMS를 보내 악성코드를 추가 유포한다.

허위 구글플레이 스토어 앱 화면을 표시하고 피해자에게 결제 카드 정보를 입력하도록 해 은행 카드 정보 도난, 카드 번호 입력 시 숫자 수를 확인하는 등 제공된 정보가 올바른지 확인하는 작업까지 수행한다.

카스퍼스키 연구진은 러시아를 비롯해 이탈리아와 프랑스, 영국 등지에서 릴톡으로 4000명 가량 피해자가 발생한 것으로 확인했다.

이창훈 카스퍼스키코리아 지사장은 “릴톡 악성코드가 느리지만 꾸준한 속도로 러시아 전역에 유포되는 것을 주시하고 있다” “유럽을 시작으로 새로운 국가와 대륙에 대한 공격을 감행할 것”이라고 말했다. 이어 “공격자가 효과적인 악성코드를 만들고 러시아에서 테스트한 뒤 같은 방식을 통해 해외로 유포, 새로운 지역과 세계로 피해와 위협이 확장된다”며 주의를 당부했다.

박종진기자 truth@etnews.com