구글 인증 2FA 코드를 탈취 가능한 안드로이드 악성코드 발견

Android malware can steal Google Authenticator 2FA codes

보안 연구원들이 ‘구글 인증기’를 통해 생성된 OTP를 추출하여 탈취할 수 있는 안드로이드 악성코드 변종을 발견했다고 밝혔습니다. 구글 인증기는 많은 온라인 계정이 이중 인증(2FA) 시 사용하는 모바일 앱입니다.

구글은 지난 2010년 이 모바일 인증 앱을 출시했습니다. 이 앱은 사용자가 온라인 계정에 로그인할 때 로그인 창에 입력해야 하는 6~8자리 코드를 생성하여 작동합니다.

구글은 SMS 기반 OTP에 대한 대안으로 이 인증기를 출시했습니다. 구글 인증기 코드는 사용자의 스마트폰에서 생성되고 안전하지 않은 모바일 네트워크를 통해 이동하지 않기 때문에 SMS 기반 인증 방식보다 안전한 것으로 간주되고 있습니다.

CERBERUS, 인증기의 OTP 탈취 기능 추가해

ThreatFabric의 보안 연구원들은 보고서를 발표해 인증기의 OTP를 훔치는 기능을 포함하는 Cerberus 샘플을 발견했다고 밝혔습니다. Cerberus는 2019년 6월 새로이 출시된 안드로이드 뱅킹 트로이목마입니다.

“이 트로이목마는 접근성 권한을 악용하여 구글 인증기 애플리케이션에서 2FA 코드를 훔칠 수 있습니다.”

“인증기 앱이 실행 중일 경우, 트로이목마는 해당 앱 인터페이스의 내용을 받아와 C&C 서버로 전송할 수 있습니다.”

ThreatFabric은 이 새로운 기능이 현재 온라인 해킹 포럼에 광고 및 판매되는 Cerberus의 버전에서는 활성화가 되어 있지 않다고 밝혔습니다.

“이 Cerberus 변종은 아직 테스트 단계인 것으로 추측됩니다. 하지만 빠른 시일 내에 공개될 수 있을 것으로 보입니다.”

은행 계정에서 이중 인증을 우회하기 위해 새로운 기능 개발한 것으로 보여

연구원들은 Cerberus 뱅킹 트로이목마가 가장 상위 클래스 악성코드인 원격 접속 트로이목마(RAT)에서 일반적으로 찾아볼 수 있는 것과 동일한 기능을 포함하고 있어 매우 우수한 편이라고 밝혔습니다.

Cerberus 운영자는 이 RAT 기능을 통해 원격으로 감염된 기기에 연결하여 기기 소유자의 뱅킹 크리덴셜을 사용해 온라인 뱅킹에 로그인하고, 이중 인증이 설정되어 있을 경우 인증기 OTP 탈취 기능을 통해 이중 인증을 우회할 수 있게 됩니다.

연구원들은 Cerberus 트로이목마가 온라인 뱅킹 계정 관련 이중 인증 필요 시 이 기능을 사용할 것으로 추측했지만, 이메일 받은편지함, 코드 저장소, 소셜 미디어 계정, 인트라넷 등에서 이중 인증이 걸린 다른 계정에 이를 악용할 수 있을 가능성도 있다고 밝혔습니다.

지금까지는 극히 적은 해커 그룹들과 더 적은 악성코드 변종만이 다중 인증 솔루션을 우회할 수 있었습니다.

만약 이 기능이 의도한대로 작동하고 Cerberus와 함께 배포될 경우 이 트로이목마는 악성코드계의 엘리트로 급부상 할 것입니다.

현재 알약M에서는 해당 악성앱들에 대해 Trojan.Android.Agent, Trojan.Android.Banker로 탐지중에 있습니다. 

출처 :

https://www.zdnet.com/article/android-malware-can-steal-google-authenticator-2fa-codes/

https://www.threatfabric.com/blogs/2020_year_of_the_rat.html