정찰용 목적으로 만들어진 고급 멀웨어...현재는 뱅킹 트로이목마로 활용돼
최근 피싱 캠페인에 활용되기 시작...여러 모듈로 다채로운 공격 이어가[보안뉴스 문가용 기자] 새로운 피싱 캠페인이 발견됐다. 안드로이드 모바일 장비에서 사용자의 크리덴셜을 훔쳐내고, 키로거를 설치하며, 랜섬웨어 공격까지 가능하게 해주는 고급 멀웨어를 배포하는 것이 이 캠페인의 목적이라고 한다.
[이미지 = iclickart]
문제의 고급 멀웨어는 다름 아닌 아누비스(Anubis). 원래는 사이버 정찰용 트로이목마로서 개발되었다가 뱅킹 트로이목마로 점점 변해버린 멀웨어다. 이 캠페인을 발견한 보안 업체 코펜스(Cofense)는 “현재 아누비스는 250개가 넘는 안드로이드용 멀웨어를 공격하고 있다”고 발표했다. 앱을 공격하는 데 사용되는 기법은 주로 ‘로그인 오버레이’라고 한다.
먼저 공격자들은 피해자들에게 이메일 메시지를 보낸다. 이 메시지는 APK 파일을 다운로드 하게 해주는 링크를 포함하고 있다. 해당 파일을 받으면 구글 플레이 프로텍트(Google Play Protect)가 설치된다고 피해자들을 속인다. 설치 과정이 시작되면 ‘서명되지 않은 안드로이드 앱을 장비에서 실행시킬 수 있는 권한’을 달라고 요청하며, 이에 응할 경우 해당 장비는 공격자의 통제 하에 들어가게 된다.
최초의 피싱 이메일 자체는 인보이스 등 전형적인 피싱 이메일의 형태를 가지고 있다. “요즘 사용자들은 핸드폰으로 이메일 확인을 많이 하잖아요. 그 점을 노린 거죠. 안드로이드 장비로 공격자들의 메일에 반응을 하면 APK가 다운로드 되고, 사용자에게 앱 설치를 위한 몇 가지 권한 허용 요청 팝업 창을 띄웁니다. 그러면서 마치 진짜 구글 플레이 프로텍트가 설치되는 것처럼 보이는 화면이 나타나죠.”
하지만 실제로 설치되는 건 구글 플레이 프로텍트가 아니다. 위에서 언급한 아누비스다. “아누비스는 설치된 이후 장비를 스캔해서 금융이나 뱅킹과 관련된 앱을 찾습니다. 그 외 인기 높은 상거래 앱(이베이나 아마존 등)이 있는지도 확인합니다. 결국 아누비스가 노리는 건 금융과 관련된 정보니까요. 그런 앱이 발견되면 아누비스는 오버레이 공격을 통해 원래 애플리케이션의 로그인 화면과 똑같이 보이는 화면을 띄워 사용자가 크리덴셜을 입력하도록 유도합니다.”
아누비스는 스크린샷 캡처, 관리자 환경설정 변경, URL 열기 및 방문, 오디오 녹음, 전화 통화 시작 등의 기능도 가지고 있다. “아누비스는 안드로이드 모바일 장비를 완전히 장악해서 데이터를 훔치고 전화 통화 관련 내용들을 전부 기록할 수 있으며, 장비 통제권을 공격자에게 완전히 넘겨주어 피해자를 협박할 수 있게도 해줍니다.” 코펜스의 설명이다.
작년 아누비스를 활용하던 공격자들은 체포된 것으로 알려져 있다. 하지만 소스코드가 유출되었기 때문에 앞으로도 끊임없이 등장할 것으로 예상된다. 심지어 지난 11월에는 아누비스의 변종으로 보이는 모바일 뱅킹 멀웨어가 출현하기도 했다. 그 변종의 이름은 닙(Gnip)이었다.
이번 캠페인의 경우 안드로이드 4.0.3 이상 버전들에 영향을 주는 것으로 알려져 있다. 또한 아누비스 외에 다른 공격 도구들도 활용되고 있다.
1) 키로거
2) 크리덴셜 탈취기
3) 랜섬웨어 모듈
랜섬웨어 모듈의 경우 장비의 내부 및 외부 스토리지를 검색해 RC4를 사용하여 파일들을 암호화 한다고 코펜스는 경고했다. 그나마 다행이라면 모든 안드로이드 버전에 이 공격이 통하는 건 아니라는 것이다. “일부 버전에서만 랜섬웨어 모듈이 작동하는 것으로 밝혀졌습니다.”
현재까지 진행된 것을 보면 이번 캠페인의 주요 표적은 일반 개인 소비자다. 그렇다고 해서 기업이나 기관 환경이 무사한 것은 아니다. 코펜스는 “현재 안드로이드 장비 사용자들 중 ‘서명되지 않은’ 혹은 ‘인증 받지 않은’ 서드파티 애플리케이션 설치를 허용한 사람들이 가장 위험하다”고 경고하기도 했다.
위에서 언급된 키로거의 경우, 아누비스가 표적으로 삼은 모든 애플리케이션에서 설치와 실행이 가능하다고 한다. 다만 저절로 작동하는 게 아니라 원격 C&C 서버로부터 명령을 받은 후에야 움직이기 시작한다.
최신 아누비스 피싱 공격에 당하지 않으려면 설치하는 앱에 대하여 계속해서 경계해야 한다고 코펜스는 권고한다. “개발사가 믿을 만한 곳인지, 앱의 출처가 올바른지, 앱을 설치하라는 메시지를 보낸 자들이 믿을 만한 사람인지를 전부 확인한 후에 앱을 설치하는 게 좋습니다.”
3줄 요약
1. 고급 트로이목마 아누비스, 최근 안드로이드 장비 노리면서 등장.
2. 침투 후 여러 모듈로 공격 실시하는데, 이중에는 랜섬웨어 모듈도 있음.
3. 앱의 출처와 개발사 등 모든 것을 확인한 후에 설치하는 습관이 중요.
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86252&page=1&mkind=1&kind=1]
