2단계 인증을 우회하기 위하여 OTP 번호를 훔치는 안드로이드 악성코드

2단계 인증을 우회하기 위하여 OTP 번호를 훔치는 안드로이드 악성코드 

Android malware steals one-time passcodes to hijack accounts protected by two-factor authentication

안전한 인터넷 뱅킹을 위하여 2단계 인증에서 사용되는 OTP 번호를 훔치는 안드로이드 Android.Bankosy 악성앱이 발견되었습니다. 

일반적으로 온라인 뱅킹 앱들은 로그인 시 패스워드 이외에 일정 시간만 유효한 코드를 요구하며, OTP가 사용자의 SMS 혹은 자동 음성 전화를 통하여 보내지게 됩니다. Bankosy 악성앱은 모든 음성전화를 해커에게 포워딩 하도록 업데이트 되어 중간에서 OTP를 가로챘습니다. 

아시아 태평양 지역에서는, 여러 상담원들이 전화를 포워딩 하기 위하여 서비스코드 포맷으로 *21*[목적지번호]#를 사용하는데, Bankosy가 이러한 방식을 도입하였습니다. 또한 이 악성앱은 감염된 사용자가 전화가 걸려오는 것을 알아채지 못하게 하기 위하여 무음 모드를 활성/비활성화 하는 기능도 갖추고 있는 것으로 밝혀졌습니다. 

공격자들은 이렇게 탈취한 OTP를 이미 탈취한 사용자의 로그인 정보와 함께 조합하여 사용합니다. 

현재 알약 안드로이드에서는 해당 악성코드에 대하여 Trojan.Android.SLocker로 탐지하고 있습니다.

참고 : 

http://www.pcworld.com/article/3021930/security/android-malware-steals-one-time-passcodes.html

http://www.symantec.com/connect/blogs/androidbankosy-all-ears-voice-call-based-2fa