은행 앱 해킹부터 스마트폰 초기화까지…’브라타’ 멀웨어 주의보

- Advertisement -

스마트폰이 등장한 이래, 사용자를 속이는 멀웨어는 늘 존재했다. 유용한 유틸리티나 필수 앱으로 위장해 설치를 유도하고 사용자 몰래 개인 정보를 빼돌린다. 해를 거듭할수록 보안 수준이 향상돼 눈에 띄는 멀웨어는 많이 줄었지만, 해커들은 계속해서 다양한 방법으로 정보를 탈취하는 데 여념이 없다.

◆ 유틸 앱으로 속이는 ‘브라타’, 어떤 위험 있나

‘브라타(BRATA, Brazilian RAT Android)’라고 불리는 멀웨어도 그중 하나다. 브라타는 2019년 러시아 보안 회사 ‘카스퍼스키’에서 발견한 악성 앱 종류를 말한다. 당시 브라질 안드로이드 스마트폰 사용자를 공격하는 원격 액세스 도구(RAT)라는 의미에서 브라타라는 이름이 붙었다.

초기 브라타에 탑재된 기능은 다음과 같다.

– 스마트폰 화면을 녹화해 실시간으로 해커에게 전송

– 백그라운드에서 구동되도록 화면을 끈 것처럼 보이게 하는 기능

– 기기 정보를 수집, 해커에게 텍스트로 전송

– 백신에 탐지되는 것을 막기 위해 스스로 제거하는 기능

브라타는 왓츠앱(WhatsApp)같은 메신저나 SMS 메시지를 통해 유포된다. 주로 스팸 방지 앱이나 백신 앱으로 위장하는데, 은행 앱을 실행하는 데 필요하다며 설치 링크를 클릭하게 유도한다. 링크를 클릭해 설치 파일을 받고 실행하면 악성 앱이 설치되고 스마트폰에 저장된 개인 정보가 유출된다.

◆ 2년 만에 다시 등장… 더 위험해진 브라타

브라타는 2021년 유럽에 다시 등장했다. 2021년 12월, 이탈리아 보안 회사 ‘클리피(Cleafy)’는 기능이 더욱 발전한 브라타가 이탈리아에서 발견됐다고 알렸다.

신형 브라타는 해커가 직접 전화로 설치를 종용하기까지 한다 (출처 : Cleafy)

이번에 발견된 브라타는 한층 똑똑해졌다. 화면 내용을 해커가 엿보는 데에 그치지 않고 멀웨어가 활동하는 데 방해되는 요소를 제거하는 기능까지 탑재했다. 메시지로 앱 설치를 유도하는 건 변하지 않았는데, 은행 직원을 사칭하고 전화를 걸어 앱 설치를 유도하는 치밀함까지 더해졌다. 신형 브라타의 기능은 다음과 같이 확대됐다.

– SMS 메시지 내용을 해커의 서버로 전송

– 스마트폰 화면을 녹화해 실시간으로 해커에게 전송

– 바이러스 백신 같은 특정 앱을 스마트폰에서 삭제

– 구글 플레이 프로텍트를 비활성화해 앱 안정성 검사 회피

– 장치 설정을 바꿔 필요한 권한 취득

– 비밀번호나 패턴을 무시하고 잠금 해제

– 피싱 사이트를 강제로 띄우는 기능

– 백신에 탐지되는 것을 막기 위해 스스로 제거하는 기능

– 사용자가 키보드로 입력한 내용을 기록하는 키로깅 기능

피해자의 스마트폰 화면을 해커가 실시간으로 확인하고, 은행으로부터 전송되는 문자메시지 내용까지 탈취한다. 해커가 피해자의 은행 계좌에 접근해 사기 행위에 악용하는 것도 가능하다.

브라타는 과도한 권한을 요구하는 게 특징이다 (출처 : Cleafy)

특히 이번 브라타는 접근성 서비스 권한을 요청하는데, 이를 허용하면 위험성이 크게 늘어난다.

안드로이드 앱이 소리를 녹음하거나 화면을 녹화하려면 사용자가 직접 녹음·녹화 버튼을 눌러야 한다. 그런데 접근성 권한을 얻은 앱은 거동이 불편한 사용자를 위해 버튼 클릭 같은 기능을 자동화할 수 있어 녹음·녹화를 스스로 실행하는 게 가능하다.

심지어 시각장애인을 위해 화면에 표시된 내용을 읽어주는 기능까지 악용해, 내용을 해커의 서버로 전송한다. 또한 이번에는 GPS 위치를 추적하는 기능도 발견됐는데 이 정보가 어디에 사용되는지는 파악되지 않았다.

신형 브라타는 기기 공장 초기화 권한까지 취득한다 (출처 : Cleafy)

이번에 발견된 브라타가 특히 위험한 이유는 따로 있다. 기기를 완전히 초기화하는 게 가능하다. 브라타가 기기를 초기화하는 조건은 2가지 있다. 첫 번째는 해킹에 성공해 정보를 필요한 만큼 충분히 탈취한 경우, 두 번째는 백신 앱으로부터 탐지될 위험에 처한 경우다. 개인 정보 탈취에서 더 나아가 스마트폰에 저장된 데이터가 모조리 날아갈 수 있는 셈이다.

◆ 한국 피해 사례는 아직… 주의는 필요해

현재 신형 브라타는 영국·폴란드·이탈리아·스페인·중국·남미 지역의 뱅킹 앱 사용자를 대상으로 확산되고 있다. 은행 앱 종류에 따라 전용 디자인과 언어까지 갖춰 감쪽같이 속이기 용이하다. 아직 한국에서는 피해 사례가 발생하지 않았지만 브라타의 원리를 응용한 멀웨어가 언제든 등장할 가능성이 있어 주의가 필요하다.

메신저나 SMS 메시지로 앱 설치를 유도하는 링크가 전달될 경우, 피싱 URL을 판단하는 방법으로 해당 주소를 PC에서 열어보는 방법이 있다. 대체로 멀웨어 앱을 설치하는 링크는 PC용 브라우저에서 제대로 열리지 않거나 레이아웃이 어색하게 깨진다. 만약 링크를 열었더니 앱 설치 파일이 자동으로 다운로드되는 경우에도 운영체제가 다르므로 설치까지 진행되지 않아 비교적 안전하다.

어떤 금융기관도 플레이스토어를 거치지 않고 다른 앱을 설치하도록 요구하지 않는다는 점도 염두에 둬야 한다. 실제로 국내 금융앱을 실행할 때 설치해야 하는 백신 앱도 구글 플레이스토어를 거쳐 설치하도록 돼있다.

마지막으로 앱이 요구하는 권한을 면밀히 확인해야 한다. 스마트폰 화면을 녹화하거나 설정을 변경하는 권한, 접근성 서비스 활성화를 요구하는 경우 멀웨어로 의심해 볼 만하다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here

Related Stories