이란 해커가 SMS로 전송된 2단계 인증 코드를 가로챌 수 있는 안드로이드 악성코드를 개발, 공격에 사용해온 것으로 나타났다.
글로벌 보안 기업 체크포인트 연구팀은 이란 정부를 배후로 둔 해킹 그룹 '램펀트 키튼(Rampant Kitten)'이 이 악성코드를 개발해 유포했다고 지난 18일 홈페이지에서 밝혔다.
연구팀은 이 해킹 그룹이 최소 6년간 활동해왔으며, 이란 소수 민족과 반체제 단체, 저항 운동을 감시해왔다고 언급했다. 이를 위해 윈도 기반 정보탈취 악성코드 변종 네 가지와 악성 앱들로 위장한 안드로이드 백도어 등을 사용한 것으로 분석했다.
안드로이드 앱 기반 악성코드는 피해자의 연락처 목록과 SMS 메시지를 탈취할 수 있었다. 마이크를 몰래 사용해 피해자의 상황을 녹음하고, 피싱 페이지를 띄우는 것도 가능했다.
이 악성코드에는 2단계 인증 메시지를 가로채는 기능도 탑재돼 있었다. 이 악성코드는 "G-"라는 문자가 포함된 모든 SMS 메시지에 대해 전송을 차단한 뒤 해커에게 전달하게 돼 있다고 밝혔다. 이는 구글 계정에서 제공되는 2단계 인증 코드 앞머리에 붙는 문자다.
해커는 이 뿐만 아니라 텔레그램 등 SNS 앱에서 피해자 기기로 전송되는 SMS 메시지도 미리 입력해둔 전화번호로 전송되게 했다. 구글 계정 외 다양한 2단계 인증 절차를 우회하려 한다는 것을 시사하는 부분이다.
체크포인트 연구팀은 이같은 악성코드가 숨은 앱을 발견했다. 스웨덴 소재 페르시아어 사용자 대상으로 운전면허증 취득을 지원하는 것처럼 위장한 앱이었다.
미국 지디넷은 국가에 소속된 해커들이 2단계 인증을 우회할 수 있다는 점은 널리 받아들여지고 있지만, 그 과정과 절차에 대해 알게 되는 것은 매우 드문 일이라고 언급했다.
관련기사
- 해킹 겪은 트위터, 美 대선 앞두고 보안 강화2020.09.18
- 유명 트위터 해킹범 잡았다…범인은 17세 소년2020.08.01
- 애플, 2단계 인증 SMS 형식 표준화 제안2020.02.03
- 미국 FBI "다중인증도 해킹될 수 있다"2019.10.08
윈도 악성코드의 경우 주로 피해자의 개인적인 문서들을 훔치는 데 사용됐다. 특히 피해자가 보안 메신저 '텔레그램'를 윈도 데스크톱으로 접속할 경우 피해자의 텔레그램 계정에 접근하는 것도 가능했던 것으로 조사됐다.
해커는 이 악성코드를 이용해 패스워드 관리 프로그램 '키패스'의 파일도 탈취했다. 이는 미국 연방수사국(FBI), 사이버보안 및 인프라보안국(CISA)이 발표한 이란 해커 분석 보고서에도 언급된 내용이다.