안드로이드 멀웨어 에스코바, 구글 MFA 인증 코드 훔쳐

구글 다중 인증 코드 훔치는 새 멀웨어...은행 계좌 정보가 궁극적 목표인 듯


요약 : 에스코바(Escobar)라는 이름의 안드로이드 멀웨어가 나타났다고 외신인 블리핑컴퓨터가 보도했다. 어비어봇(Aberebot)이라는 기존 뱅킹 멀웨어의 후예로 보이는데, 어비어봇과 달리 구글 다중인증 오센티케이터의 인증 코드를 훔치는 기능을 탑재한 것으로 알려져 있다. 그 외에도 오디오 녹음, 사진 찍기 등의 정보를 가져가는 기능도 가지고 있다. 이렇게 여러 정보를 모으는 공격자들의 궁극적인 목적은 피해자들의 은행 계좌에 접근하는 것으로 분석된다.






배경 : 2022년 2월 다크웹의 한 포럼에서 어비어봇 개발자는 자신의 새로운 도구를 홍보하면서 에스코바를 언급했다. 현재 이 개발자는 에스코바의 베타 버전을 한 달 3천 달러에 대여하고 있다. 돈을 내기 전 3일 동안 무료로 사용해 보는 것도 가능하다.


말말말 : “에스코바는 아직 베타 버전임에도 꽤나 높은 가격대에 거래되고 있습니다. 따라서 에스코바가 크게 유행하지 않을 가능성도 있습니다. 하지만 그만큼 강력한 도구이기도 해서 앞으로 공격자들 사이에서 얼마나 선호될지는 더 지켜봐야 합니다.” -블리핑컴퓨터-


[국제부 문가용 기자([email protected])]


[Google OTP 적용의 위험성]


1. 상용화된 인증 솔루션이 아님.

Open source로 이미 여러 해킹 사례가 발생하여 피해를 입은 사용자들이 많으며, Google에서는 어떠한 책임도 지지 않음.


2. OTP 등록 키 값(Secure key) 노출

안드로이드 멀웨어 등에 구글 MFA 인증 코드 유출

등록 키 값이 노출되기도 쉬우며 중복등록이 가능

QR코드의 경우 리더기로 읽으면 키 값이 평문으로 그대로 노출되어, 타인이 너무도 쉽게 나의 OTP 등록 키 값을 알 수 있음.

앱을 삭제할 경우 키 값을 어딘가에 보관하지 않으면 등록된 OTP 등록 키 값을 새로이 받아서 키 값을 변경해야 함.


3. 해킹에 대단히 취약

Open source 기반의 무상 서비스이기에 소스 공개로 알고리즘 유출, 앱 위변조 방지 등의 기본적인 보안장치들이 전혀 없음.


4. 구성원의 Google 계정 해킹 시 대비책 없음

계정이 해킹 당하면 Google OTP가 적용된 업무서비스를 일정기간 사용하지 못함.


5. 낮은 Hash 함수 사용

SHA-1을 사용하고 있음(국정원에서 최소 SHA-256 이상을 권고)


6. Secure key 문제

Secure key가 암호화 및 난독화 되지 않고, Hex로만 변환되어 있음.


7. 기술지원 문제(Technical support)

Open source이기 때문에 문제 발생 시 본인이 해결해야 함. 


8. Google의 무료 서비스 언제 유료로 전환 될 것으로 예상함.


Google OTP는 소규모 Linux나 애플리케이션에 적합할지는 모르나 대규모 Linux나 애플리케이션에는 부적합하며, 구글OTP를 대체할 수 있는 사용화된 제품을 검토해야 합니다.

[출처] https://cafe.naver.com/peopleofit/77116?boardType=L

태그가 없습니다.

0개의 댓글이 있습니다.

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입