Home > 전체기사

70개국에서 안드로이드 사용자 대거 감염시킨 ‘그리프트호스’ 멀웨어

  |  입력 : 2021-09-30 18:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
꽤나 많은 공식 앱들을 통해 어마어마한 숫자의 안드로이드 사용자들이 그리프트호스에 감염되는 사건이 발생했다. 거의 1년 동안 피해가 이어지고 있는데 아무도 몰랐다. 그도 그럴 수밖에 없는 게, 공격자들이 들키지 않으려고 온갖 수단을 다 동원했기 때문이다.

[보안뉴스 문가용 기자] 한 사이버 범죄 단체가 200개가 넘는 ‘비주류’ 애플리케이션들 속에 멀웨어를 심어 구글 플레이 스토어를 통해 배포했다. 보안 업체 짐페리움(Zimperium)에 따르면 이 멀웨어는 그리프트호스(GriftHorse)라고 하며, 이미 70여개 국에서 피해 상황이 발견되고 있다고 한다. 일부 앱의 경우 100만회 이상 다운로드 되기도 했다.

[이미지 = utoimage]


그리프트호스 멀웨어가 탑재된 멀웨어를 피해자가 설치할 경우, 피해자는 매 시간 다섯 개의 팝업 알람을 받게 된다. 무료 선물이 도착했다는 내용이다. 이를 클릭하면 사용자의 전화번호를 요구하는 웹 페이지로 안내된다. 속아서 전화번호를 입력하면 그르프트호스가 이 번호를 가지고 유료 온라인 서비스에 피해자를 가입시킨다. 당연히 피해자는 이 사실을 모른다.

짐페리움의 보안 제품 전략가인 리차드 멜릭(Richard Melick)은 “비주류 애플리케이션들에 멀웨어를 심음으로써 공격자들은 꽤나 오랫동안 들키지 않고 공격을 진행시킬 수 있었다”고 설명한다. “예외도 있긴 하지만 사람들이 잘 설치하지 않을 만한 애플리케이션들을 주로 공략했더라고요. 대신 그런 애플리케이션들의 가짓수를 엄청나게 늘렸죠. 한 번에 대박을 노린 게 아니라 잔잔하고 꾸준한 성과를 의도한 겁니다.”

그 전략은 아주 잘 먹혀들었다. 그리프트호스는 최소 400만에서 최대 1700만 대의 장비를 감염시켰고, 70개국에서 피해자를 낳았다. 공격자들이 벌어들인 수익은 매달 140만 달러에서 410만 달러 사이인 것으로 추정되고 있다. 최소 2020년 11월부터 진행된 것으로 보이니, 거의 1년 가까이 아무도 모르게 공격자들의 주머니에 돈이 쌓여갔다는 것이다. 그 동안 그 어떤 백신 회사의 제품도, 구글 플레이 스토어의 보안 장치들도 경보를 울리지 않았다.

사실 공격자들이 위장용으로 사용한 앱들이 처음부터 악성 코드를 가지고 있던 건 아니었다. 사용자들이 처음 설치할 때는 정상적인 앱이었다. 다만 피해자의 장치에 설치된 이후에 악성 코드가 추가된다. 때문에 스토어에 등록하기 전에 앱을 스캔하는 방식으로는 악성 요소들을 잡아내기가 힘들었다. “게다가 공격자들은 URL 하드코딩이나 공격용 도메인을 중복해서 사용하지 않았습니다. 피해자의 위치에 따라 악성 행위를 아예 실행하지 않기도 했고요. 들키지 않으려고 대단히 조심한 흔적이 역력합니다.”

짐페리움은 공격자들이 공략한 모바일 생태계의 특성을 다음과 같이 정리한다. “스마트폰의 화면이 작고, 구글 플레이 스토어에 대한 사용자들의 신뢰도가 높으며, 일반 사용자들은 대게 스팸 메시지에 신경질적으로 반응한다는 걸 공격자들이 잘 파고들었습니다. 뭔가 자세히 들여다보거나 검토하기가 힘든 환경이라는 걸 공략한 겁니다. 유명 앱들의 경우 보안 업계가 너도나도 분석을 하니까 이런 특성들이 이점으로 작용하지 않습니다만 비주류 앱들이라면 상황이 달라지죠.”

또한 공격자들은 주로 문자 메시지와 관련된 유료 서비스에 피해자들을 등록시켰는데, 이 역시 그리프트호스 캠페인을 감추는 데 주요하게 작용한 것으로 분석된다. 유료 ‘고급 문자 서비스’는 대부분 사용자들에게 알림 메시지나 공지 사항을 보내지 않기 때문이다. 보내도 극히 드물다. 그러므로 사용자들은 자신이 엉뚱한 서비스를 구독하고 있다는 사실을 알아채지 못하게 된다.

공격자들이 활용한 앱의 48%는 유틸리티 도구들이었다. 13%는 엔터테인먼트, 6%는 라이프스타일 앱으로 분류됐다. 그 외 총 15개 항목들에서 그리프트호스의 흔적이 발견됐다. 짐페리움은 이러한 사실을 구글 측에 알렸고, 구글은 해당 앱들을 전부 스토어에서 삭제했다.

멜릭은 “고급 문자 서비스가 가지고 있는 태생적 약점이 다시 한 번 드러났다”고 지적하기도 한다. “유료 가입한 사용자에게 거의 아무런 공지나 알림을 보내지 않는다는 것이 치명적입니다. 그리프트호스와 같은 방식의 사기 공격을 하기에 적당하고, 실제 그런 서비스에 몰래 가입시키는 행위는 빈번하게 있어 왔습니다. 구글의 플레이 스토어나 애플의 앱스토어가 탄생하기 훨씬 전부터 있던 이 ‘프리미엄 문자 메시지’ 서비스는 이제 없어져도 되는 오래된 유산입니다.”

3줄 요약
1. 구글과 수많은 백신 솔루션을 속인 그리프트호스 작전.
2. 인기 없는 앱들에 멀웨어 심어 조용조용히 퍼트리는 수법, 엄청난 성공으로 이어짐.
3. 스마트폰 환경에 나타나는 사용자들의 반응들을 교묘히 노린 전략.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)