유럽인들의 안드로이드 스마트폰이 새로운 감기균에 감염되고 있다. 플루봇이라는 멀웨어가 문제인데, 언어를 차례로 바꿔가면서 한 나라 한 나라 공략하는 중이라고 한다. 한 번 감염되면 여러 민감 정보가 빠져나간다고 하는데, 다행히 아직 한글로 된 공격은 발견되지 않고 있다.

[보안뉴스 문가용 기자] 플루봇(FluBot)이라는 안드로이드 멀웨어가 유럽 대륙에서 독감처럼 퍼지고 있으며, 조만간 바다를 건너 다른 지역에도 출몰할 가능성이 높다는 경고가 나왔다. 처음에는 스페인의 안드로이드 사용자들을 노린 공격 캠페인이었는데, 어느 새 영국, 독일, 헝가리, 이탈리아, 폴란드에서도 피해자가 속출하고 있다고 한다. 보안 업체 프루프포인트(Proofpoint)가 상세 내용을 담은 보고서를 발표했다.

​

[이미지 = Pixabay]

보고서에 의하면 스페인의 사용자들을 대상으로 캠페인이 진행됐을 때는 스페인어가 사용됐는데, 영어로 된 캠페인이 최근 적발됐다고 한다. 이 캠페인에 연루된 고유 도메인은 700개가 넘으며, 주로 영국인들 사이에서 피해가 발생했다. 이 ‘대 영국’ 캠페인 전에는 독일어로 된 캠페인도 진행된 바 있었으며, 영어 캠페인이 본격화 되면서 독일 캠페인은 사라졌다. 프루프포인트는 “배후 세력이 의도적으로 한 국가 한 국가 차례대로 공격하고 있다”고 분석하고 있다. 유럽에서의 활동이 끝나면 공격자들이 미국으로 눈을 돌릴 가능성이 높다고 예측하기도 했다.

“플루봇은 SMS를 통해 전파되고 있는데, 재미있게도 여러 언어들이 차례로 사용되고 있습니다. 피해자의 연락처 정보에 등록된 사람들에게 악성 문자메시지가 전송되고 있는 것으로 보이며, 일부 사례에서는 독일어와 영어로 된 악성 문자메시지가 미국의 지인들에게 이미 전송되기도 했습니다. 공격자들의 다음 목표가 미국일 가능성이 높습니다.” 프루프포인트의 수석 연구 국장인 셰럿 드그리포(Sherrod DeGrippo)의 설명이다. “영어권에서 캠페인을 진행해 본 공격자 입장에서 미국으로의 진출은 그리 어려운 일이 아닐 겁니다.”

플루봇은 다음과 같은 방법으로 전파되고 있다.

1) 피해자들에게 문자메시지가 도착한다. 문자는 택배 회사에서 보낸 것처럼 꾸며져 있다.

2) 가장 많이 사칭되는 회사는 페덱스, DHL, 코레로스다.

3) 악성 메시지의 내용은 ‘물품 수령 날짜를 지정하시오’인 경우가 대부분인데, 전부 링크가 하나씩 걸려 있다.

4) 피해자가 이 링크를 누를 경우 날짜 지정을 위한 앱을 다운로드 받아야 한다는 안내가 뜬다.

5) 이 앱을 설치할 경우 플루봇이 함께 설치된다.

6) 설치 과정 중 사용자에게 여러 가지 권한을 허용할 것을 요구하는데, 사용자가 여기에 응할 경우 플루봇에 높은 권한이 부여된다.

7) 이 시점부터 플루봇은 스파이웨어, 스팸 문자 발송기, 신용카드 정보 탈취기로의 기능을 발휘한다. 그러면서 피해자 브라우저로 악성 페이지를 열고, 구글 플레이 프로텍트를 비활성화 하고, 특정 앱들을 삭제한다.

드그리포는 “공격자들의 궁극적 목표는 ‘돈’일 것”이라고 보고 있다. 여러 정보를 수집하는 최종 목표가 금전적 수익일 가능성이 높다는 것이다. 국가 지원 해커들이 배후에 있을 가능성이 낮다는 뜻이기도 하다.

한편 프루프포인트의 보안 전문가들은 플루봇 3.7과 4.0 샘플을 확보해 역설계를 진행했다. 두 버전 모두 같은 기능을 가지고 있지만, 난독화와 C&C 통신의 기법에서 작은 차이를 가지고 있었다. “플루봇은 DGA를 활용해 C&C 서버와 연결합니다. 덕분에 공격자는 서버가 차단되었을 때 빠르게 다른 서버로 전환할 수 있게 됩니다. 4.0 버전의 경우 피해자의 언어 설정을 함께 활용하는 치밀한 모습을 보이기도 합니다.”

현재까지 조사된 바, 이 플루봇 캠페인이 특정 계층을 노리고 기획된 건 아닌 것으로 보인다. 안드로이드 사용자들을 무차별적으로 노리고 있으며, 따라서 캠페인 자체가 광범위하게 진행되는 중이라고 한다. 드그리포는 “페덱슨, DHL, 코레로스와 관련된 앱을 최근 설치했다면 설정 창에 들어가 앱의 세부 사항을 확인할 필요가 있다”고 경고한다. “악성 앱들은 세부 사항 열람을 못하도록 합니다. 일반 앱과 달리 확인 과정에 방해가 있을 수 있습니다.” 그러면서 “링크를 통한 앱 설치를 자제해야 한다”고도 덧붙였다.

문자메시지를 통한 멀웨어 유포는 오래된 수법이지만 아직도 잘 통한다. 게다가 플루봇의 성공이 다른 사이버 범죄자들을 자극할 가능성도 높다. 따라서 플루봇이 아니더라도 악성 문자메시지를 통한 공격이 성행할 가능성이 높다고 드그리포는 경고한다. “문자메시지로 전달된 링크나 파일을 신뢰하지 말아야 한다는 걸 계속해서 교육할 필요가 있습니다. 아직도 이런 수법에 당하는 사람이 많다는 건, 기본적인 보안 수칙에 대한 교육이 잘 이뤄지지 않고 있다는 걸 나타내기도 합니다.”

3줄 요약

1. 플루봇이라는 안드로이드 멀웨어가 유럽 국가들을 차례로 강타.

2. 최근 미국으로 무대를 옮기려는 조짐이 보임. 다른 나라들로 퍼질 수도 있음.

3. 문자메시지 통해 멀웨어가 전파된다는 건 보안 교육이 더 이뤄져야 한다는 뜻.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=96974&page=3&kind=1)]​