보안 기업 클리피(Cleafy)가 450개의 금융 애플리케이션(앱)을 공격하고 있는 넥서스(Nexus)라는 새로운 안드로이드 뱅킹 트로이 목마에 대해 경고했다.
넥서스는 올해 3월 초 보안 기업 사이블(Cyble) 연구팀이 처음 발견했다. 클리피에 따르면 넥서스는 서비스형 멀웨어(MaaS) 가입을 통해 월 30만 원에 이용할 수 있으며, 지하 포럼과 텔레그램 등 사설 채널에도 광고되고 있다.
넥서스는 은행과 가상자산 서비스에서 신용 도용, SMS 가로채기와 같은 계정 인수(ATO) 방식을 사용한다. 또한 약 450개의 금융 앱에 대한 공격 가이드도 제공한다.
또한 넥서스는 고객 계정을 훔치기 위해 여러 은행과 가상자산을 표적으로 삼는다. 오버레이 공격- 키로깅을 통해 고객 자격 증명을 캡처한다. 이후 안드로이드의 내게 필요한 옵션 서비스를 이용해 SMS와 Google Authenticator을 동원, 2단계 인증(2FA)을 우회한다. 이외에 자동 업데이트 메커니즘도 지원하고 있다.
클리피에 따르면, 현재 디버그 문자열이 있고 사용하는 참조가 없는 것으로 보아 넥서스는 개발 중인 상태에 있는 것으로 파악된다. 하지만 앞으로의 파급력을 봤을 때 전 세계에서 수백 개의 장치를 감염시킬 수 있어 주의가 필요한 상황이다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
