MYT뮤직이라는 정상적인 앱을 가장한 멀웨어가 구글 플레이에서 잠시 유통됐다. 그 잠시 동안 1천만 번 이상 다운로드 됐다. 현재 해당 앱은 스토어에서 사라졌지만 또 어떤 앱의 얼굴을 하고 나타날지 모른다.
[보안뉴스 문가용 기자] 3월부터 전 세계 모바일 뱅킹 사용자들을 공격하던 안드로이드 멀웨어가 다시 나타났다. 이전보다 난독화 기능이 충실해졌다. 또한 구글 플레이 스토어에 등록되어 있는 정상 앱으로 위장하고 있기도 하다. 그래서인지 수많은 사람들이 속았고, 아마도 크고 작은 피해를 입은 것으로 추정된다. 현재까지 이 가짜 앱이 다운로드 된 횟수는 1천만 번이 넘는 것으로 파악됐다.
[이미지 = utoimage]
이 뱅킹 트로이목마의 이름은 갓파더(Godfather)이다. 주로 유럽에서 피해자들을 양산하는 것으로 알려져 있다. 잠깐 활동이 뜸하나 싶었는데 최근 들어 다시 공격의 수위를 높였다고 한다. 특히 이전보다 더 업그레이드 된 모습으로 나타난 것이 눈에 띄는 상황이다. 개발자는 멀웨어 탐지 기능을 회피하는 데에 많은 신경을 쓴 것으로 분석된다. 이러한 내용을 보안 업체 사이블(Cyble)이 자사 블로그를 통해 발표했다.
피해자의 시스템에 성공적으로 설치된 후에 갓파더는 뱅킹 트로이목마가 하는 여러 가지 악성 행위를 골고루 실시한다. 뱅킹/암호화폐 거래소의 크리덴셜을 탈취하는 것도 당연히 포함된다. 그 밖에도 문자 메시지, 기본적인 장비 세부 사항, 설치된 애플리케이션 목록, 전화번호 등까지 훔친다. 모든 악성 행위는 배경에서 조용히 실행된다. 최근의 갓파더 샘플들은 맞춤형 암호화 기술로 암호화 되어 있었으며, 일반적인 백신 정도는 가볍게 우회하는 것으로 분석됐다.
기업과 소비자를 표적 삼아
분석을 꾸준히 진행한 결과 갓파더가 구글 플레이에서 공식 유통되는 앱인 MYT뮤직(MYT Music)과 매우 비슷한 아이콘과 이름을 사용하고 있었다는 것을 알아낼 수 있었다. 이미 이 가짜 MYT뮤직 앱의 다운로드 횟수는 1천만 번을 넘어서고 있었다. 구글 플레이에서 이런 식으로 악성 앱이 퍼지는 건 흔히 있는 일로, 구글은 플레이 생태계를 정화하기 위해 적잖은 투자를 하고 있지만 해커들은 계속해서 방법을 찾아내고 있다.
원래의 MYT뮤직 앱은 튀르키예어로 만들어졌으며, 공격자들이 굳이 이 앱을 사칭하기로 결정했다는 건 이들의 원래 표적이 튀르키예인들이라는 것을 뜻한다. 하지만 튀르키예어 앱을 시작으로 여러 나라와 언어권에서 유명한 앱들을 사칭하기 위한 준비가 어디선가 진행되고 있을 수도 있다. 즉 튀르키예만이 목표가 아닐 가능성도 배제할 수 없다는 것이다.
뱅킹 트로이목마는 기업보다는 사용자 개개인을 노리는 경우가 많다. 그렇다고 기업들이 뱅킹 트로이목마의 공격에 대하여 마냥 안심하고 있어도 된다는 건 아니다. 임직원들도 직장 내 네트워크에서 모바일 뱅킹과 쇼핑, 거래 등을 하기 때문이다. 그런 개인적인 일들을 처리하는 데 사용하는 장비에 업무용 앱과 데이터가 전혀 없는 경우는 드물다. 그렇기 때문에 기업 환경과 장비에서 앱을 다운로드 받아 설치할 때는 신중에 신중을 기해야 한다.
갓파더, 어떤 방식으로 피해를 입히는가?
갓파더는 피해자의 장비에 설치된 이후(이 시점까지 피해자는 자신이 MYT뮤직을 설치했다고 생각하고 있다) 23가지 권한을 허용해달라고 요청한다. 음악 앱이라는 것을 실행할 때에 필요한 것들도 있지만 악성 행위에 필요한 것들도 다수 섞여 있다. 예를 들어 사용자의 연락처 정보에 대한 접근 권한, 장비 상태 정보 열람 권한, 사용자 계정 열람 권한 등은 일반적인 음악 앱에서 요청할 이유를 쉽게 떠올리기 힘든 것들이다. “외부 스토리지 파일 쓰기 권한, 잠금화면 해제 권한은 도를 넘은 거죠. 이런 권한을 요청하는 것을 알아챘다면 개발자의 의도를 의심해야 합니다.” 사이블의 설명이다.
피해자가 권한들을 허용했다면 갓파더는 피해자의 장비로부터 송금도 자유롭게 할 수 있게 된다. “다이얼러 사용자 인터페이스를 사용하지 않는 비정형 부가 서비스 데이터(USSD)를 통해 전화를 걸어 송금을 진행하기 때문에 사용자가 송금이 진행되고 있다는 걸 알기 힘듭니다. 또한 애플리케이션 키 로그를 수집하고 이를 C&C 서버로 되돌려 보냅니다. C&C 서버에서 추가 명령이 갓파더로 전달되기도 합니다. 크리덴셜을 수집하고, 오버레이 공격도 하고요.”
피해자의 장비에서 필요한 모든 악성 행위를 실시했다면 갓파더는 킬봇(killbot) 명령을 받아 실행하는데, 이는 악성 행위를 스스로 종료하는 기능이다. 이 때문에 피해가 발생하더라도 추적이 한층 까다롭게 된다.
갓파더의 공격 방어하기
갓파더와 같은 멀웨어에 감염되는 것을 막으려면 어떻게 해야 할까? 앱 다운로드 및 설치 시 기본적인 실천 사항을 지켜야 한다고 사이블의 연구원들은 제안한다. “앱을 받을 때 먼저는 평점과 리뷰를 꼭 점검해야 합니다. 충분한 사람들이 써보고 어떤 글을 남겼나 확인하는 건 기본입니다. 그런 다음에는 앱 개발사를 한 번 검색해 보세요. 여태까지 어떤 앱을 만들어왔는지, 보안 사고에 연루된 적은 없는지 알아보는 게 중요합니다. 적어도 이 두 가지를 한 후에 설치를 결정하세요.”
그 다음 사이블이 권하는 건 구글 플레이 프로텍트(Google Play Protect)를 활성화시키라는 것이다. 그것 하나로 보안 문제가 전부 해결되는 건 아니지만 하나의 방어막이 추가되는 효과는 가져갈 수 있다고 한다. “또 금전 거래가 이뤄지는 앱과 플랫폼에서는 생체 정보를 이용한 다중 인증 옵션을 이용하는 것이 좋습니다. 앱을 설치할 때는 물론 업데이트 할 때마다 어떤 권한을 앱이 요구하는지도 살피는 게 안전하고요.”
3줄 요약
1. 갓파더라는 뱅킹 멀웨어, 구글 플레이에 등장.
2. MYT뮤직이라는 튀르키예 앱으로 위장되어 있음.
3. 앱을 설치할 때 지켜야 할 기본적인 보안 실천 사항들을 지키는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 3월부터 전 세계 모바일 뱅킹 사용자들을 공격하던 안드로이드 멀웨어가 다시 나타났다. 이전보다 난독화 기능이 충실해졌다. 또한 구글 플레이 스토어에 등록되어 있는 정상 앱으로 위장하고 있기도 하다. 그래서인지 수많은 사람들이 속았고, 아마도 크고 작은 피해를 입은 것으로 추정된다. 현재까지 이 가짜 앱이 다운로드 된 횟수는 1천만 번이 넘는 것으로 파악됐다.
[이미지 = utoimage]
이 뱅킹 트로이목마의 이름은 갓파더(Godfather)이다. 주로 유럽에서 피해자들을 양산하는 것으로 알려져 있다. 잠깐 활동이 뜸하나 싶었는데 최근 들어 다시 공격의 수위를 높였다고 한다. 특히 이전보다 더 업그레이드 된 모습으로 나타난 것이 눈에 띄는 상황이다. 개발자는 멀웨어 탐지 기능을 회피하는 데에 많은 신경을 쓴 것으로 분석된다. 이러한 내용을 보안 업체 사이블(Cyble)이 자사 블로그를 통해 발표했다.
피해자의 시스템에 성공적으로 설치된 후에 갓파더는 뱅킹 트로이목마가 하는 여러 가지 악성 행위를 골고루 실시한다. 뱅킹/암호화폐 거래소의 크리덴셜을 탈취하는 것도 당연히 포함된다. 그 밖에도 문자 메시지, 기본적인 장비 세부 사항, 설치된 애플리케이션 목록, 전화번호 등까지 훔친다. 모든 악성 행위는 배경에서 조용히 실행된다. 최근의 갓파더 샘플들은 맞춤형 암호화 기술로 암호화 되어 있었으며, 일반적인 백신 정도는 가볍게 우회하는 것으로 분석됐다.
기업과 소비자를 표적 삼아
분석을 꾸준히 진행한 결과 갓파더가 구글 플레이에서 공식 유통되는 앱인 MYT뮤직(MYT Music)과 매우 비슷한 아이콘과 이름을 사용하고 있었다는 것을 알아낼 수 있었다. 이미 이 가짜 MYT뮤직 앱의 다운로드 횟수는 1천만 번을 넘어서고 있었다. 구글 플레이에서 이런 식으로 악성 앱이 퍼지는 건 흔히 있는 일로, 구글은 플레이 생태계를 정화하기 위해 적잖은 투자를 하고 있지만 해커들은 계속해서 방법을 찾아내고 있다.
원래의 MYT뮤직 앱은 튀르키예어로 만들어졌으며, 공격자들이 굳이 이 앱을 사칭하기로 결정했다는 건 이들의 원래 표적이 튀르키예인들이라는 것을 뜻한다. 하지만 튀르키예어 앱을 시작으로 여러 나라와 언어권에서 유명한 앱들을 사칭하기 위한 준비가 어디선가 진행되고 있을 수도 있다. 즉 튀르키예만이 목표가 아닐 가능성도 배제할 수 없다는 것이다.
뱅킹 트로이목마는 기업보다는 사용자 개개인을 노리는 경우가 많다. 그렇다고 기업들이 뱅킹 트로이목마의 공격에 대하여 마냥 안심하고 있어도 된다는 건 아니다. 임직원들도 직장 내 네트워크에서 모바일 뱅킹과 쇼핑, 거래 등을 하기 때문이다. 그런 개인적인 일들을 처리하는 데 사용하는 장비에 업무용 앱과 데이터가 전혀 없는 경우는 드물다. 그렇기 때문에 기업 환경과 장비에서 앱을 다운로드 받아 설치할 때는 신중에 신중을 기해야 한다.
갓파더, 어떤 방식으로 피해를 입히는가?
갓파더는 피해자의 장비에 설치된 이후(이 시점까지 피해자는 자신이 MYT뮤직을 설치했다고 생각하고 있다) 23가지 권한을 허용해달라고 요청한다. 음악 앱이라는 것을 실행할 때에 필요한 것들도 있지만 악성 행위에 필요한 것들도 다수 섞여 있다. 예를 들어 사용자의 연락처 정보에 대한 접근 권한, 장비 상태 정보 열람 권한, 사용자 계정 열람 권한 등은 일반적인 음악 앱에서 요청할 이유를 쉽게 떠올리기 힘든 것들이다. “외부 스토리지 파일 쓰기 권한, 잠금화면 해제 권한은 도를 넘은 거죠. 이런 권한을 요청하는 것을 알아챘다면 개발자의 의도를 의심해야 합니다.” 사이블의 설명이다.
피해자가 권한들을 허용했다면 갓파더는 피해자의 장비로부터 송금도 자유롭게 할 수 있게 된다. “다이얼러 사용자 인터페이스를 사용하지 않는 비정형 부가 서비스 데이터(USSD)를 통해 전화를 걸어 송금을 진행하기 때문에 사용자가 송금이 진행되고 있다는 걸 알기 힘듭니다. 또한 애플리케이션 키 로그를 수집하고 이를 C&C 서버로 되돌려 보냅니다. C&C 서버에서 추가 명령이 갓파더로 전달되기도 합니다. 크리덴셜을 수집하고, 오버레이 공격도 하고요.”
피해자의 장비에서 필요한 모든 악성 행위를 실시했다면 갓파더는 킬봇(killbot) 명령을 받아 실행하는데, 이는 악성 행위를 스스로 종료하는 기능이다. 이 때문에 피해가 발생하더라도 추적이 한층 까다롭게 된다.
갓파더의 공격 방어하기
갓파더와 같은 멀웨어에 감염되는 것을 막으려면 어떻게 해야 할까? 앱 다운로드 및 설치 시 기본적인 실천 사항을 지켜야 한다고 사이블의 연구원들은 제안한다. “앱을 받을 때 먼저는 평점과 리뷰를 꼭 점검해야 합니다. 충분한 사람들이 써보고 어떤 글을 남겼나 확인하는 건 기본입니다. 그런 다음에는 앱 개발사를 한 번 검색해 보세요. 여태까지 어떤 앱을 만들어왔는지, 보안 사고에 연루된 적은 없는지 알아보는 게 중요합니다. 적어도 이 두 가지를 한 후에 설치를 결정하세요.”
그 다음 사이블이 권하는 건 구글 플레이 프로텍트(Google Play Protect)를 활성화시키라는 것이다. 그것 하나로 보안 문제가 전부 해결되는 건 아니지만 하나의 방어막이 추가되는 효과는 가져갈 수 있다고 한다. “또 금전 거래가 이뤄지는 앱과 플랫폼에서는 생체 정보를 이용한 다중 인증 옵션을 이용하는 것이 좋습니다. 앱을 설치할 때는 물론 업데이트 할 때마다 어떤 권한을 앱이 요구하는지도 살피는 게 안전하고요.”
3줄 요약
1. 갓파더라는 뱅킹 멀웨어, 구글 플레이에 등장.
2. MYT뮤직이라는 튀르키예 앱으로 위장되어 있음.
3. 앱을 설치할 때 지켜야 할 기본적인 보안 실천 사항들을 지키는 게 안전.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
