암스테르담 소재의 금융산업 위협 문제 전문 사이버 보안업체인 쓰레트패브릭(ThreatFabric)이 “케르베로스(Cerberus)” 트로이 목마 바이러스의 존재를 확인했다. 이 바이러스는 구글 인증기(Google Authenticator) 앱이 인터넷 뱅킹, 이메일 계정 및 암호화폐 거래소를 위해 생성하는 2단계 인증(2FA) 코드를 훔쳐낸다.
미국 소재의 암호화폐 거래소인 코인베이스(Coinbase)도 케르베로스의 전체 공격대상 목록에 포함되어 있는 암호화폐 플랫폼 중 하나로서, 이 목록에는 전 세계의 주요 금융기관과 소셜 미디어 앱들도 포함되어 있다.
이 사이버 보안 업체는 다크 웹에서 케르베로스의 업데이트된 기능에 대한 광고를 확인하지 못한 점으로 미루어볼 때 업데이트된 버전은 "아직 테스트 단계에 있지만 곧 출시될 수도 있을 것"으로 보고 있다고 밝혔다.
케르베로스, 장치 사용 안 할 때 잠금 풀고 침입
쓰레트패브릭의 보고서에 기술된 바에 의하면, 원격 접근 트로이 목마(RAT) 바이러스인 "케르베로스"가 처음 확인된 것은 6월 말경으로서, 아누비스 트로이 목마(Anubis Trojan) 바이러스를 대체하는 주요 서비스형 멀웨어(Malware-as-a-Service, MAAS) 제품으로 등장했다고 한다.
케르베로서는 2020년 1월 중순에 업데이트 되었는데, 이 새로운 버전은 구글 인증기의 2FA 토큰은 물론 장치 화면잠금 PIN 코드와 스와이프 패턴까지 훔칠 수 있는 기능을 도입했다고 한다.
케르베로스는 일단 설치되고 나면 장치에 든 내용을 다운로드 하고 연결 상태를 확립하여 악의적인 해커가 해당 장치를 원격으로 완전히 액세스 할 수 있도록 해준다. 그리고 나면 이 RAT 바이러스를 이용해 은행 및 암호화폐 거래소 앱을 포함해 해당 장치의 모든 앱을 작동시킬 수 있다.
“장치의 화면잠금 인증 장치(PIN 및 잠금 패턴)를 훔칠 수 있도록 해주는 기능은 피해자가 장치의 잠금을 해제하게 만드는 단순한 오버레이에 의해 작동된다. RAT의 구현 방식으로 볼 때, 이 화면잠금 인증장치 절도 기능은 피해자가 장치를 사용하고 있지 않을 때 원격으로 장치의 잠금을 해제해 절도 행위를 할 수 있도록 만들어진 것이다”
암호화폐 지갑 앱 노리는 뱅킹 트로이 목마 증가 추세
이 바이러스의 공격 목표 중 20개 이상이 비트코인(BTC), 이더리움(ETH) 및 비트코인 캐시(BCH) 등의 주요 암호화폐를 지원하는 지갑 제공업체들이다.
케르베로스의 공격을 방지할 수 있는 방법은 물리적인 인증 키를 사용해 원격 공격을 막는 것이다. 이러한 키를 사용하게 되면 해커가 실제 장치를 손에 넣지 않고서는 공격할 수 없으므로 바이러스가 공격에 성공할 위험성을 최소화하는 데 도움이 된다.