Home > 전체기사
보안 앱이나 성인 앱으로 위장해 퍼지는 엑스로더
  |  입력 : 2019-04-05 08:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이전에는 페이스북이나 크롬으로 위장...지금은 보안 앱으로
한국의 안드로이드 사용자 노리는 캠페인에서는 성인 앱으로 위장해


[보안뉴스 문가용 기자] 엑스로더(XLoader)라는 트로이목마가 안드로이드 장비들을 감염시키고 있다는 소식이다. 최근에는 보안 애플리케이션인 것처럼 위장해 사용자들을 공략하고 있다고 한다. 이전 엑스로더는 페이스북, 크롬 등 굉장히 인기가 높은 앱으로 위장해 사용자들을 속여 왔다.

[이미지 = iclickart]


엑스로더 멀웨어는 실제 도메인처럼 보이도록 꾸며진 가짜 웹사이트들에 호스팅되어 있다. 진짜처럼 보이기 위해, 이곳에서 apk 파일을 다운로드 받아도 될 것처럼 보인다. 물론 이 apk 파일 자체도 보안 앱인 것처럼 위장되어 있다. 이러한 공격의 흔적들을 발견한 보안 업체 트렌드 마이크로(Trend Micro)는 “피해자들은 스미싱 공격 등을 통해 이 사이트로 안내된다”고 설명한다.

안드로이드 생태계에 있어서 apk 파일이 설치될 수 있는 건 두 가지 상황에서다. apk 파일이 공식 스토어로부터 다운로드 되었을 때와, 사용자가 설치를 허용했을 때다. 즉, 엑스로더에 감염된 안드로이드 사용자는, 사실 굉장히 건강하지 못한 모바일 사용 습관을 가지고 있는 것이기도 하다.

엑스로더는 실제 C&C 주소들을 엔코딩하기 위해 트위터의 프로파일을 활용한다. 또한 모바일 장비의 고유 식별자인 IMSI, ICCID, 안드로이드 ID, 장비 일련번호 등을 수집하는 기능도 가지고 있다. “엑스로더의 악성 행위를 분석해 보건데, 공격자들은 표적 공격을 위한 정보를 수집하고 있는 것으로 보입니다.”

트렌드 마이크로는 엑스로더를 계속해서 추적하다가, 공격자들이 애플 장비들도 감염시키고 있다는 사실을 발견했다. “비슷한 수법으로 엑스로더를 설치시킨 후, 각종 정보를 캐갑니다. 역시나 장비의 고유 식별 번호(UDID), 국제모바일장비식별자(IMEI), 통합서킷카드ID(ICCID), 모바일장비식별자(MEID), 버전 번호, 제품 번호 등이 여기에 속합니다.”

한국 안드로이드 사용자들을 노린 채, 성인 앱으로 위장된 엑스로더가 돌아다니는 것 또한 발견됐다. 이 경우 아직까지 애플 사용자들을 위한 움직임이 포착된 바는 없다. “성인 앱인줄 알고 가짜 앱을 다운로드 받으면, apk 파일이 설치되는 과정에서 악성 웹사이트로 연결되는데, 이 사이트의 배경에서 엑스로더가 실행됩니다. 이 공격에 사용되는 트위터 계정은 위에서 언급된 계정과 다릅니다.”

그 외에도 트위터 대신 인스타그램과 텀블러를 사용하는 경우도 있었다. “각종 SNS 계정의 프로파일을 사용해 C&C 주소를 감추는 방식이 이번 엑스로더 배포에 활용되고 있습니다.”

엑스로더의 활동이 시작된 건 2018년부터다. 하지만 엑스로더가 존재해온 건 최소 2015년 1월부터인 것으로 보인다고 한다. 트렌드 마이크로는 “엑스로더는 페이크스파이(FakeSpy)라는 멀웨어와 연관성이 있다”고 보고 있다. “배포되는 기법이나, 악성 앱을 호스팅 하기 위해 꾸며진 웹사이트가 모두 일본의 정상적인 웹사이트를 복제한 것이라는 점 모두 동일합니다. 소셜 네트워크를 통해 C&C 주소를 감추는 방식도 같고요.”

트렌드 마이크로는 이전 페이크스파이 공격에 연루된 사이트에서 가짜 iOS 프로파일이 저장되어 있는 것 또한 발견할 수 있었다고 덧붙였다.

3줄 요약
1. 엑스로더 멀웨어, 안드로이드와 iOS 환경에서 활발하게 퍼지고 있음.
2. 이번 캠페인의 특징은 트위터의 프로파일에 C&C 주소를 감춘다는 것과 보안 앱처럼 보이는 apk 파일을 통해 퍼진다는 것.
3. 표적 공격의 발판이 될 수 있는 각종 정보 수집하는 중. 한국 사용자 노린 공격 정황도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)