이탈리아어 서비스 필요하다고 구글 플레이 이용하면 위험

입력 : 2019-04-01 16:10

이탈리아어 관련 서비스 제공하는 앱처럼 보이지만, 사실 스파이웨어
현재 삭제된 상태지만, 변종 다양히 나타난 것으로 보아 또 나타날 수 있어

[보안뉴스 문가용 기자] 비영리 보안 전문 조직인 ‘국경 없는 보안(Security Without Borders, SWB)’이 이탈리아어 관련 서비스를 제공하는 애플리케이션을 통해 실행되고 있는 공격 캠페인을 발견했다. 이 앱은 이탈리아어 서비스 대신 스파이웨이를 설치하는 것으로 나타났다.


SWB는 이런 목적을 가진 악성 앱들이 열 개 이상 구글 플레이 스토어에 등록되어 있다고 밝혔다. 이 앱들의 총 다운로드 수는 수천에서 수만에 이르는 것으로 나타났다. 또한 스파이웨어는 꽤나 공격적이라고 한다. “모바일 폰에 잠식해 장비 정보를 수집하는 것만이 아니라, 장비에 설치된 여러 가지 앱 정보도 같이 수집합니다. 페이스북의 친구 목록, 페이스북 메신저와 텔레그램, 위챗, 왓츠앱 등의 메신저 앱들도 염탐합니다.”

SWB는 이 멀웨어에 엑소더스(Exodus)라는 이름을 붙였다. “엑소더스는 2016년부터 활동해온 것으로 보입니다. 저희는 이 사실을 구글에 알렸고, 구글은 해당 앱들을 전부 삭제했습니다. 구글은 현재까지 약 25개의 엑소더스 변종을 발견해 삭제했다고 합니다.”

공격은 2단계에 걸쳐 일어난다고 한다. “피해자가 감염된 앱을 다운로드 받으면 엑소더스 1(Exodus 1)이라는 1단계 멀웨어가 먼저 설치됩니다. 이 멀웨어는 전화번호 등과 같은 장비의 기본적인 정보를 수집합니다. 이걸 가지고 공격자들은 피해 장비를 확인할 수 있게 됩니다. 그런 다음 엑소더스 1은 다음 단계의 페이로드인 엑소더스 2를 로딩하고 실행합니다.”

2단계 페이로드는 다양한 형태로 나타난다고 한다. “그 중 가장 흥미로운 건 널(null)입니다. 이 ‘널’ 페이로드는 로컬 및 리버스 셸(local and reverse shell)‘로서 작용하기도 하고, 룻데몬(rootdaemon)의 역할을 하기도 합니다. 이는 권한 상승 공격에 활용될 수도 있고, 데이터 입수를 위해 사용될 수도 있습니다. 룻데몬은 더티카우(DirtyCow) 익스플로잇의 변종을 사용해 장비를 탈옥시키기도 합니다.”

페이로드가 훔친 데이터는 장비 내 SD 카드에 임시로 저장되며, 공격자들은 C&C 서버를 통해 이 데이터를 다운로드 해 가져간다.

아직까지는 피해자들이 전부 이탈리아에 거주하는 사람들인 것으로 보인다. 감염된 앱들의 구글 플레이 스토어 페이지와 미끼들도 전부 이탈리아어로 만들어져 있다. 앱을 만든 것으로 추정되는 건 이서브(eSurv)라는 이름의 이탈리아 업체인데, 이 기업은 영상 감시 분야에서 2016년부터 사업을 시작했다고 한다.

“처음부터 이탈리아 업체가 의심된 것은 아닙니다. 하지만 감염되거나 위장한 앱들이 전부 이탈리아어를 사용하고 있었기 때문에 점차 이탈리아 공격자들을 의심하게 되었습니다. 그러다가 엑소더스 2를 분석하다가 특정 단어들이 반복해 나타나는 걸 알게 됐습니다. Mundizza라는 단어였죠. 이는 이탈리아 남부 지역에서 주로 사용하는 사투리로, 이 지역의 업체들로 조사 범위를 좁혀갈 수 있었죠. 여기에 이서브가 포함됐습니다.”

그것만이 아니었다. “C&C 도메인 일부에서 특정 IP 주소를 가리키는 걸 알게 됐는데, 이를 계속해서 추적하고, 또 쇼단에서 검색하면서 보니 이서브가 개발한 영상 감시 시스템의 제어판이 나왔습니다. 그것도 이탈리아 남부에 집중되어 있었죠.”

SWB는 엑소더스 1의 패키지 이름들도 공개했다.
1) com.phonecarrier.linecheck
2) rm.rf
3) operatore.italia
4) it.offertetelefonicheperte
5) it.servizipremium
6) assistenza.sim
7) assistenza.linea.riattiva
8) assistenza.linea
9) it.promofferte

3줄 요약
1. 이탈리아어로 된 악성 앱들, 구글 플레이어 침공해 수만 번 다운로드 됨.
2. 사용되는 멀웨어는 ‘엑소더스’로, 강력한 스파이웨어 기능 가지고 있음.
3. 이 악성 앱을 개발하거나 배포한 것으로 의심되는 건 이탈리아의 영상 감시 업체.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  배블로더, 그리 획기적이지 않은 기술을 매우...

• 2

  최근 페이스북에서 유행하는 멀버타이징 캠페인...

• 3

  [긴급] 국세청 등 정부 사칭 미끼 문자와 ...

• 4

  과기정통부, ‘국제 AI안전연구소 네트워크’...

• 5

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...