Home > 전체기사
미중 갈등으로 불안감 커져가는 틱톡 사용자들의 심리 노린 스파이웨어
  |  입력 : 2020-09-10 17:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스파이웨어인데 이름은 ‘틱톡 프로’...금지되지 않을 버전이라고 소개되고 있어
하지만 설치되는 건 각종 정보 훔쳐가는 멀웨어...특히 페이스북 크리덴셜이 표적


[보안뉴스 문가용 기자] 새로운 안드로이드 스파이웨어가 발견됐다. 이름은 ‘틱톡 프로(TikTok Pro)’로, 현재 중국과 미국 사이의 김장감 사이에서 언제 틱톡이 금지될지 몰라 걱정하고 있는 사용자들의 심리를 노리는 것으로 분석된다. 이 스파이웨어는 사진, 문자 메시지, 페이스북 크리덴셜 등을 수집한다.

[이미지 = utoimage]


공격자들은 각종 SNS 채널 등을 통하여 (금지되지 않을) 새 버전의 틱톡이 나왔으니 안심하고 다운로드 받으라는 메시지를 살포하는 중이라고 보안 업체 지스케일러(Zscaler)의 쉬방 데사이(Shivang Desai)는 보고서를 통해 알렸다. 메시지에 속아 링크를 클릭한 사용자의 장비에는 틱톡 프로라는 이름의 멀웨어가 설치된다. 이를 실행하면 페이스북 크리덴셜을 입력하라는 안내와 함께 여러 권한을 허용해달라는 창이 뜬다. 당연히 이 크리덴셜은 공격자에게 넘어가고, 여러 권한을 통한 스파잉이 시작된다. 또한 각종 광고 폭탄이 시작되기도 한다.

여기까지는 첫 번째 캠페인에서 발생한 일이었다. 두 번째 캠페인에 등장한 틱톡 프로 앱은 완연한 업그레이드를 거친 듯한 모습이었다. 데사이에 의하면 “더욱 본격적인 스파이 기능을 갖춘, 프리미엄급 멀웨어가 되었다”고 한다. 두 번째 버전의 틱톡 프로는 설치가 된 후 가짜 경고 창을 띄운다. 피해자가 이 경고 내용에 신경을 쓰는 동안 앱의 아이콘이 삭제된다. 이런 과정을 겪은 사용자는 ‘내가 설치한 앱이 잘못되었구나’라거나 ‘앱에 뭔가 문제가 있었구나’라고 생각하게 된다. 그러나 삭제가 되었기 때문에(그렇게 보이기 때문에) 의심을 이어가지는 않는 것이 보통이다.

또 다른 탐지 방해 기능도 존재한다. 페이로드를 /res/raw 디렉토리에 저장하는 건데, 안드로이드 패키지 안에 주요 페이로드를 섞어 둠으로써 찾기 힘들게 만드는 흔한 방법 중 하나라고 데사이는 설명한다. “하지만 이 페이로드 역시 미끼 정도에 불과합니다. 실제 앱의 기능이 담겨져 있지는 않습니다. 스파이웨어로서의 실제 머리 역할을 하는 부분은 메인서비스(MainService)라는 안드로이드 서비스에 위치합니다. 여기서 크리덴셜을 훔치고 데이터를 삭제하는 등의 기능이 발휘됩니다.”

이 버전은 페이스북 크리덴셜을 훔치기 위해 가짜 페이스북 로그인 페이지를 사용자에게 노출시키기도 한다. 사용자가 입력한 페이스북 로그인 정보는 /storage/0/DCIM/.fdat에 저장된다. 이 정보는 C&C 서버로 전송된다. 데사이는 “앞으로 이 공격자들이 캠페인을 진화시킴에 따라 다른 유형의 크리덴셜을 훔칠 것으로 예상된다”고 경고하기도 했다. 페이스북 크리덴셜을 빼앗듯이 온라인 뱅킹 크리덴셜이나 이메일 크리덴셜도 얼마든지 훔칠 수 있다는 것이다.

스파이웨어에서 페이스북 크리덴셜을 노골적으로 노린 것은 흔히 있는 일이 아니다. 덴사이는 “처음 보는 일”이라고 말한다. 또한 틱톡과 같은 유명 브랜드를 그대로 베껴서 스파이웨어를 만드는 대범한 행위도 흔히 접할 수 없는 일이라고 한다. “미국 정부가 중국을 압박하면서 틱톡을 금지시키려고 하고 있죠. 하지만 틱톡은 미국 내에서도 어마어마하게 많은 사용자를 가지고 있습니다. 대부분 10대들이고, 이들은 보안이나 국가의 방향성보다 자기가 당장 틱톡을 쓰지 못하게 된다는 것에 격분해 있습니다. 그 심리 상태를 노린 영악한 공격이라고 볼 수 있습니다.”

틱톡은 사용자들의 민감한 정보를 중국에 있는 서버로 전송하다가 여러 번 발각된 바 있다. 이 때문에 중국을 압박하려는 미국 정부에 빌미를 제공했고, 트럼프 대통령과 미국 의원들은 여러 차례 틱톡의 사용을 금지시킨다고 발표했었다. 현재는 미국 기업인 마이크로소프트와 월마트가 틱톡을 인수하려고 움직이고 있다. 실제 인도는 이미 틱톡의 사용을 금지시키기도 했다. 그러면서 사용자들 사이에서는 ‘금지 조치를 뚫어내는 방안’들을 모색하는 분위기가 형성되고 있다.

덴사이는 “틱톡을 계속 사용하고자 하는 이용자들 중 일부가 서드파티 등에서 앱을 불법으로 다운로드 받아 설치하는 것을 택할 가능성이 높다”며 “멀웨어의 공격에 스스로를 노출시키게 될 것”이라고 경고했다. 그러면서 “어떤 모바일 환경에서건 공식 스토어를 거치고, 여러 번 확인을 한 후에 앱을 설치하는 게 안전하다”고 강조했다.

또한 덴사이는 “안드로이드 환경의 사용자라면 출처를 알 수 없는 파일이 설치되지 않도록 옵션 설정을 해두는 것이 좋다”고 권장했다. 또한 장비 환경 설정의 ‘애플리케이션’ 부분을 통해 틱톡 프로라는 앱이 설치되어 있는지 확인하는 것도 좋은 방법이라고 설명했다.

3줄 요약
1. 틱톡이 금지되느냐 마느냐, 열혈 사용자들은 하루하루가 불안.
2. 이런 심리를 노리고 ‘틱톡 프로’라는 스파이웨어가 퍼져가고 있음.
3. 틱톡 프로는 페이스북 크리덴셜을 위주로 각종 정보를 수집하는 멀웨어임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상