Home > 전체기사
구글 플레이 닮은 ‘못 지우는’ 안드로이드 멀웨어
  |  입력 : 2014-06-19 13:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

한국 사용자들 목표로 하는 안드로이드 멀웨어, 지워지지도 않아


[보안뉴스 문가용] APT 방어 통합보안 솔루션 전문업체인 파이어아이(FireEye)와 구글은 최근 구글 플레이랑 비슷한 외관과 기능을 가지고 안드로이드 사용자들을 현혹시켜 온라인 뱅킹 정보를 훔쳐낸 멀웨어를 적발하는 데에 성공했다. 이 멀웨어의 이름은 구글 앱 스토리(Google App Story)다.

 


이 악성 안드로이드 앱에 당한 사용자들은 최소 200명으로 추정되고 있으며 활동 기간은 최소 30일로 보인다. 대상은 대부분 한국인이었다. 이 멀웨어를 잡아낼 수 있는 안티바이러스 프로그램은 전체 51개중 한국어 인터페이스를 가지고 있는 3개뿐이었다. 안티바이러스 프로그램이 구글 앱 스토리 감지에 실패한 이유는 앱 사용자 인터페이스 뒤에서 멀웨어의 암호화가 진행됐기 때문이다.


사용자들을 가장 혼란스럽게 했던 기능은 ‘제거(uninstall)’ 옵션이었다. 구글 앱 스토리는 사용자가 제거 버튼을 누르면 제거되는 ‘척’만 하지 실제로는 기기에 남아서 활동을 계속했으며, 심지어 백엔드까지 쫓아가 지우더라도 안드로이드 기기를 껐다가 다시 켜는 순간 되살아났다.


“여태까지 나온 안드로이드용 멀웨어 앱 중 제일 교묘한 녀석이었습니다. 사용자가 지우는 걸 원천 차단함으로써 효과적으로 방어책들을 피해갔을 뿐 아니라 사용자가 앱을 실행할 때까지는 악성코드 중 핵심 부분을 암호화하고 압축시켜서 숨겨두더라고요.” 파이어아이의 모바일 보안연구원인 진쟌 자이(JinJian Zhai)의 설명이다. “그러면서 SMS, 인증서, 은행계좌 정보 등을 훔쳐냈습니다. 이때 굉장히 암호화가 잘 된 지메일 SSL 프로토콜을 사용해서 감시망을 교묘하게 빠져나가도록 설계되었습니다.”


문제를 발견한 파이어아이는 구글에 도움을 요청해 공격자의 지메일 계정을 확보했다. 이 계정을 통해 훔쳐낸 정보가 활발히 오갔기 때문에 계정을 잡아내는 게 어렵지는 않았다. “지메일은 SSL 프로토콜을 사용하고 있어 해커들이 보통의 네트워크 감시망을 피하기가 용이합니다.” 하지만 공격자들의 지메일 계정을 확보했다고 해서 일이 끝난 건 아니다. “계정 확보 후에 할 수 있는 일이라고는 계정을 막아 정보 유통을 막는 것 뿐이었습니다. 멀웨어 자체를 막을 순 없었죠. 공격자들에겐 HTTP 서버가 여전히 있었으며 지메일 계정이야 다시 만들면 그만이었으니까요.”


그렇다고 이게 대단히 심각한 문제였느냐 하면, 그렇지도 않았다는 게 모바일 보안 회사인 룩아웃 시큐리티(Lookout Security)의 제레미 린든(Jeremy Linden) 수석 보안제품 책임자의 평이다. “이 멀웨어를 제일 처음 발견한 건 저희 룩아웃입니다. 지난해 11월에 이미 발견을 했죠. 다만 저희 감지 시스템에서는 이 멀웨어의 위험도를 그리 높게 보지 않았어요. 그때만 해도 잠재 위험이 이것보다 훨씬 높은 중국발 멀웨어가 수두룩 했거든요. 그런 전적을 봤을 때 구글 앱 스토리의 위험성이 지나치게 높이 평가받고 있는 건 아닌가 합니다.”


비슷한 종류의 멀웨어로는 쉬루드CK스파이(ShrewdCKSpy)라는 게 있는데, 사용자의 기기에 침투해 문자메시지나 음성전화를 기록하고 녹음까지 한다. “헬러(Helir)라는 멀웨어는 원격 서버로부터 명령을 받아 SMS 메시지나 음성 전화, 주소록 같은 데이터를 모으는 것이 가능합니다. 이런 종류의 멀웨어는 특히 아시아에서 성행하고 있습니다. 룩아웃에서 찾은 것만 해도 열댓 가지가 넘습니다.”


다시 구글 앱 스토리로 가보자면, 사용자들이 이 멀웨어에 감염되는 경로는 아직 밝혀지지 않았다. 사용자 제보로 파이어아이의 추적이 시작된 것이기 때문에 사용자들이 어떤 식으로 속아 넘어가는지 제대로 된 정보가 없는 것이다. “그래도 소득이 있다면 이 멀웨어는 다운로드만으로 활성화되지 않는다는 걸 알았다는 겁니다. 사용자가 이 앱을 실행하지 않으면 소용이 없습니다. 물론 다운로드만 받고 실행하지 않을 확률이 적고, 이 멀웨어의 아이콘이 꽤나 그럴듯해서 그냥 지나치기가 더 어렵습니다.” 자이 씨의 설명이다.


게다가 대부분 사용자가 아이콘을 시간 들여가며 면밀하게 관찰하지는 않기 때문에 기존 구글 플레이와 비슷한 아이콘이 같은 화면에 두 개가 떠도 별 의심 없이 아무거나 실행하는 경우가 많은 것이 사실이다. “심지어 비슷한 아이콘이 서로 다른 페이지에 따로따로 나타난다면 사용자로선 조금의 의심도 하지 않게 됩니다. 멀웨어를 사용자 스스로가 발동할 확률이 높을 수밖에 없습니다.”


공격자들은 다이내믹 DNS서버와 SSL을 호환하는 지메일을 사용해 훔쳐낸 정보를 취합하고 자신들의 HTTP 서버를 주기적으로 바꾼다. “아직 찾아낸 건 지난 30일 동안 200명 정도의 사용자에게서 진행된 일들의 흔적뿐입니다. 이보다 전의 기록들은 공격자가 이미 다 지운 상태였습니다.” 파이어아이는 이 멀웨어에 대한 보다 상세한 기술 정보를 자신들의 블로그에 영문으로 공개하고 있다(http://www.fireeye.com/blog/technical/2014/06/what-are-you-doing-dsencrypt-malware.html).

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 랜섬웨어 유포가 다시 기승을 부리고 있습니다. 여러분이 근무하거나 경영하는 회사 업무망이 랜섬웨어에 감염됐다면 어떤 선택을 하시겠습니까?
회사 업무에 큰 지장이 있으니 돈을 주고서라도 파일을 복호화할 것
불편함과 손실을 감수하더라도 자체적으로 해결하고자 노력할 것
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
IR PTZ 카메라

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

보쉬시큐리티시스템즈
CCTV / 영상보안

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

테크어헤드
얼굴인식 소프트웨어

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

비전정보통신
IP카메라 / VMS / 폴

디비시스
CCTV토탈솔루션

엔토스정보통신
DVR / NVR / CCTV

에스카
CCTV / 영상개선

씨오피코리아
CCTV 영상 전송장비

구네보코리아
보안게이트

두현
DVR / CCTV / IP

옵티언스
IR 투광기

KPN
안티버그 카메라

지와이네트웍스
CCTV 영상분석

티에스아이솔루션
출입 통제 솔루션

디케이솔루션
메트릭스 / 망전송시스템

옵텍스코리아
실내 실외 센서

CCTV프랜즈
CCTV

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

씨아이즈
IP 카메라 / 비디오 컨트롤

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

엘림광통신
광전송링크

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

금성보안
CCTV / 출입통제 / NVR

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

퍼시픽솔루션
IP 카메라 / DVR

지에스티엔지니어링
게이트 / 스피드게이트

진명아이앤씨
CCTV / 카메라

유시스
CCTV 장애관리 POE

수퍼락
출입통제 시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향