몇 가지 독특한 점을 앞세워 사업을 시작한 멀웨어 개발자가 있다. 터키어를 사용하는 것으로 알려진 이 개발자는 금융권을 노려 새로운 사업 방식까지 도입하고 있다. 이게 지금까지는 꽤나 효과적이라 앞으로 모방하는 자들이 나타날 수 있을 것으로 보인다.
[보안뉴스 문정후 기자] 새로운 안드로이드 멀웨어가 발견됐다. 드로이드봇(DroidBot)이라고 하며, 보안 업체 클리파이(Cleafy)가 발견했다. 드로이드봇의 활동이 시작된 건 2024년 6월부터인 것으로 보이는데, 현재는 활동 사항이 나타나지 않고 있다. 일종의 원격 접근 트로이목마(RAT)로, 스파이웨어와 같은 기능을 탑재하고 있다는 특징을 가지고 있다고 한다. 이중 채널 통신 방식을 활용하며, MQTT를 통해 감염시킨 장비에서부터 데이터를 전송하며, HTTPS를 통해 명령을 수신한다. 덕분에 안정성이라는 측면에서 뛰어난 면모를 보인다.
[이미지 = gettyimagesbank]
현재 드로이드봇은 77개 단체들을 공격 표적으로 삼고 있는데, 여기에는 은행, 암호화폐 거래소, 국가 기관이 대거 포함되어 있다고 한다. 국가별로 분류하면 영국, 이탈리아, 프랑스, 스페인, 포르투갈 등에서 활발하게 활동 중이다. 즉, 유럽에서 대부분의 피해가 발생하고 있는 건데 클리파이에 의하면 “조만간 공격자들이 남미로 공격 범위를 확대할 가능성이 높아 보인다”고 한다. 유럽이 아니라고 해서 이 위험을 간과해서는 안 된다는 의미다.
다만 현재 드로이드봇은 완성 단계에 있는 멀웨어가 아닌 것으로 보인다. “함수나 난독화 수준, 다단계 압축 해제 프로세스 등 여러 특성들을 봤을 때 아직 개발 중에 있을 가능성이 높습니다. 아마도 공격자는 특수한 환경을 염두에 두고, 그것에 맞춰 멀웨어를 조정하고 있을 가능성이 높습니다.” 또 하나 드로이드봇의 특징이 있다면 개발자가 터키어 사용자일 가능성이 높다는 것이라고 한다. “디버그 문자열, 설정 파일 등의 정보를 봤을 때 터키어를 사용하는 개발자가 배후에 있을 것으로 보입니다.”
공격 진행 방식
공격자는 드로이드봇을 배포하기 위해 흔한 뱅킹 멀웨어 살포 전략을 사용한다. “한 마디로 그럴 듯한 미끼를 사용해 피해자들을 낚는 건데, 드로이드봇 운영자들도 대부분 해커들처럼 보안 애플리케이션, 구글 서비스, 유명 은행 앱 등을 미끼로 쓰는 편입니다. 이런 정상 애플리케이션이나 서비스로 위장한 채 피해자가 다운로드하도록 유도하는 것이죠.”
그런 다음에 이뤄지는 일도 기존 다른 해킹 공격과 비슷하다. 접근성 서비스를 조작하려 시도하는 건데, 이는 주로 설치 단계에서 실행된다. 그렇게 해서 피해자의 시스템을 감염시키는 데 성공한 드로이드봇은 다음과 같은 기능을 발휘하게 된다고 클리파이는 설명한다.
1) 문자 가로채기 : 주로 이중인증을 뚫어내기 위해 존재하는 기능
2) 키로깅 : 접근성 서비스를 악용해 화면에 표시되거나 사용자가 입력한 민감 정보를 캡처한다.
3) 오버레이 공격 : 피해자가 은행 앱을 열면 가짜 로그인 페이지를 앱 위에 표시해 크리덴셜을 가로챈다.
4) 스크린샷 캡처 : 주기적으로 피해자의 스크린샷을 촬영함으로써 실시간 모니터링이 가능해진다.
5) 화면 조작 : 접근성 서비스를 통해 피해자 장비를 원격에서 제어할 수 있게 된다. 버튼 클릭, 양식 작성, 앱 내 탐색 등이 가능해진다.
“사실 이런 기능들은 대부분 현대 뱅킹 트로이목마에서 흔히 볼 수 있는 것으로 그리 놀랍다고 할 수 없습니다. 하지만 드로이드봇은 그게 다가 아닙니다. 다른 멀웨어에서 볼 수 없는 독특한 점들이 있습니다.”
드로이드봇만의 특징
먼저 드로이드봇은 비정형적인 C&C 통신 방법을 사용하는데, 이 때 메시징 프로토콜 중 하나인 MQTT를 활용한다. MQTT는 경량화 된, 가벼운 프로토콜로 원래 사물인터넷 및 실시간 메시징 시스템에서 사용된다. “드로이드봇은 피해자의 장비를 감염시킨 뒤 바로 이 가벼운 메시징 프로토콜로 훔친 정보를 내보냅니다. 이는 매우 드문 사례입니다. 아직까지 탐지율이 높지 않은 방법이기도 한데, 공격자들이 이 점을 잘 꿰뚫어본 것이라고 할 수 있습니다. 앞으로 더 많은 멀웨어들이 MQTT를 차용하지 않을까 합니다.”
드로이드봇의 소스코드 내에는 도메인 주소들이 하드코딩 되어 있는데, 바로 이 주소들로 드로이드봇은 HTTP 요청을 보낸다. 그러면 주소 값이 되돌아오는데, 드로이드봇의 초기 버전에서는 이 주소 값이 평문으로 작성됐습니다. 하지만 그 후 나온 버전에서는 베이스64(Base64)로 인코딩 됩니다. “드로이드봇은 이 값을 복호화 해서 연결을 시도합니다. 그렇게 해서 피해자와 MQTT 브로커가 연결이 되며, 공격자는 여기서부터 추가 악성 행위를 실시할 수 있게 됩니다.”
공격자들은 MQTT 통신을 보호하기 위해 암호화 루틴을 사용해 데이터를 난독화 하기도 한다. 이 루틴은 네 가지 단계로 구성된다.
1) 직렬화 : 메시지를 UTF-8 인코딩 기법으로 변환시킨다.
2) XOR 암호화 : 변환된 데이터를 다시 XOR로 암호화시킨다.
3) 압축 : 암호화 된 바이트를 zlib 알고리즘으로 압축한다.
4) MQTT 전송 : 압축된 결과 값을 MQTT 브로커로 전송한다.
이 덕분에 탐지, 추적, 분석 모두가 어렵게 된다.
모바일 생태계에서 드문 MaaS
하지만 드로이드봇의 가장 중요한 특징은 MaaS 형태로 운영되고 있다는 것이다. MaaS는 Malware-as-a-Service 즉 ‘서비스형 멀웨어’라는 뜻이다. 드로이드봇의 개발자가 악성코드 및 서비스를 다른 사이버 범죄자들에게 대여해주는 사업을 겸하고 있다는 의미가 된다. 일종의 비즈니스 모델로서 드로이드봇이 개발됐다는 것이다. “드로이드봇의 C&C 인프라를 분석했을 때 운영자와 구매자만 고급 기능에 접근할 수 있도록 설계되어 있다는 걸 알 수 있었습니다. 안드로이드 멀웨어 생태계에서 MaaS 사업은 의외로 흔치 않습니다. 대부분 윈도 환경의 위협들 사이에서 나타나는 것이죠.”
이게 하나의 사업으로서 자리를 잡아간다는 건 누군가 이것을 광고하고 있다는 뜻이 되며, 클리파이는 이런 광고를 러시아 해커 포럼에서 발견할 수 있었다. 광고를 통해 드로이드봇 개발자들이 주장하는 내용을 파악할 수 있었는데, 이는 다음과 같았다.
1) 개발자의 경험이 풍부하다. 그러므로 기능성과 안정성에서 안심할 수 있다.
2) 다양한 서비스가 구독료 안에 포함되어 있다.
3) 강력한 안드로이드 기반 기능을 자랑한다(원격 제어, 자동 이체 시스템 등)
4) 국가 제한이 없는데, 그러므로 과거 소비에트 연방 국가들도 공격 대상에 포함된다.
뿐만 아니라 클리파이 연구원들은 이 광고 글에서 구매자들을 위한 텔레그램 링크도 발견할 수 있었다. “접속했더니 드로이드봇 기능과 월 구독료에 대한 보다 상세한 정보가 제공되는 방으로 연결됐습니다. 개발자는 C&C 패널의 특정 세부 내용이 나와 있는 스크린샷을 공유하기도 하는 등 보다 적극적으로 기능을 홍보하고 있었습니다.”
이 정보들을 바탕으로 여러 가지 정보를 얻어낼 수 있었다. “일단 스크린샷을 통해 날짜, 시간, 날씨 정보를 확보했습니다. 개발자의 운영 체제는 터키어로 설정되어 있었고, 날씨 역시 터키 앙카라 지역의 그것을 가리키고 있었습니다. 터키어를 사용하며, 터키에 거주 중인 자가 이 캠페인의 배후에 있다는 것이 보다 명확해진 것이었죠.”
또한 드로이드봇과 협력 관계에 있는 것으로 보이는 봇넷 그룹의 존재가 확인되기도 했다. “MQTT 브로커를 통해 드로이드봇과 연결된 특정 봇넷의 트래픽을 가로채는 데 성공하면서 17개가 넘는 봇넷 그룹이 드로이드봇과 연결되어 있음을 확인했습니다. 그러면서 실시간으로 봇넷 통신 스트림을 분석할 수 있었고, 그러면서 봇넷의 크기와 지리적 분포도를 추정할 수 있게 됐습니다.”
공격자들이 봇넷을 통해 어떤 기능을 수행할 수 있는지도 관찰이 가능했다고 한다. 정리하자면 다음과 같다.
1) 은행 크리덴셜 정보 수집
2) 전화 통화 조작
3) VNC를 통한 원격 접근
4) 가짜 푸시 알람 전송
5) 데이터 수집
드로이드봇이 시사하는 건?
기술적인 관점에서 봤을 때 드로이드봇은 기존의 악성 코드들과 유사하며 혁신적인 측면은 거의 없다고 봐도 무방하다. 그럼에도 클리파이가 장문의 보고서를 작성해 세상에 공개한 건 드로이드봇 만의 특징이 있기 때문이었다. “운영 모델이 상당히 독특합니다. 먼저 앞에서도 언급했지만 모바일 환경에서 MaaS 사업은 그리 흔한 형태가 아닙니다. 그 멀웨어가 랜섬웨어일 때는 RaaS라는 사업의 형태가 존재합니다만 RAT이나 스파이웨어가 이런 식으로 유포되는 건 드뭅니다.”
MaaS를 통해 개발자가 수익 구조를 창출했다는 것이 중요한 게 아니다. 그건 랜섬웨어 공격자들 사이에서도 이미 흔한 수법이다. “드로이드봇의 경우 MaaS 사업을 통해 ‘제휴 모델’을 도입했다는 게 중요한 포인트입니다. 여러 공격자들과 제휴함으로써 드로이드봇은 공격 확산 속도를 획기적으로 높일 수 있었고, 그럼으로써 모니터링에 대한 필요성을 급격히 늘려 보안 담당자들에게 부담을 안겼습니다. 드로이드봇이 주로 금융권을 노렸다는 것이 중요한데, 드로이드봇이 제휴 모델을 통해 공격 수위를 높이면 각 금융사의 실시간 모니터링 팀 혹은 사기 대응 팀이 영향을 받을 수밖에 없습니다. 그러므로 MaaS에 구독료를 내는 고객들 하나하나의 공격 성공률이 높아지죠.”
물론 개발자가 이런 큰 그림까지 그리고 MaaS 사업을 시작한 것인지는 확인할 길이 없다. 다만 클리파이는 “앞으로 이러한 형태의 사업을 모방한 공격자들이 늘어날 가능성이 높아 보인다”고 우려하고 있다. 공격 효과가 꽤나 좋기 때문이다. “공격자들이 뭘 얼마나 얻어갔는지는 아직 집계가 다 되지 않고 있습니다만, 방어하는 쪽에서 우왕좌왕 하고 있는 건 맞습니다. 공격이 빠르게 확산되어 가고 있는데도 아직 제대로 탐지를 못하고 있으니까요.”
3줄 요약
1. 새로워 보일 것이 없는 봇넷 멀웨어가 새롭게 발견됨.
2. 하지만 통신 체계라든가 운영 방식에서 독특한 점들이 있고, 모방이 우려되는 상황.
3. 일단 금융권이 유심히 지켜봐야 할 내용.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 새로운 안드로이드 멀웨어가 발견됐다. 드로이드봇(DroidBot)이라고 하며, 보안 업체 클리파이(Cleafy)가 발견했다. 드로이드봇의 활동이 시작된 건 2024년 6월부터인 것으로 보이는데, 현재는 활동 사항이 나타나지 않고 있다. 일종의 원격 접근 트로이목마(RAT)로, 스파이웨어와 같은 기능을 탑재하고 있다는 특징을 가지고 있다고 한다. 이중 채널 통신 방식을 활용하며, MQTT를 통해 감염시킨 장비에서부터 데이터를 전송하며, HTTPS를 통해 명령을 수신한다. 덕분에 안정성이라는 측면에서 뛰어난 면모를 보인다.
[이미지 = gettyimagesbank]
현재 드로이드봇은 77개 단체들을 공격 표적으로 삼고 있는데, 여기에는 은행, 암호화폐 거래소, 국가 기관이 대거 포함되어 있다고 한다. 국가별로 분류하면 영국, 이탈리아, 프랑스, 스페인, 포르투갈 등에서 활발하게 활동 중이다. 즉, 유럽에서 대부분의 피해가 발생하고 있는 건데 클리파이에 의하면 “조만간 공격자들이 남미로 공격 범위를 확대할 가능성이 높아 보인다”고 한다. 유럽이 아니라고 해서 이 위험을 간과해서는 안 된다는 의미다.
다만 현재 드로이드봇은 완성 단계에 있는 멀웨어가 아닌 것으로 보인다. “함수나 난독화 수준, 다단계 압축 해제 프로세스 등 여러 특성들을 봤을 때 아직 개발 중에 있을 가능성이 높습니다. 아마도 공격자는 특수한 환경을 염두에 두고, 그것에 맞춰 멀웨어를 조정하고 있을 가능성이 높습니다.” 또 하나 드로이드봇의 특징이 있다면 개발자가 터키어 사용자일 가능성이 높다는 것이라고 한다. “디버그 문자열, 설정 파일 등의 정보를 봤을 때 터키어를 사용하는 개발자가 배후에 있을 것으로 보입니다.”
공격 진행 방식
공격자는 드로이드봇을 배포하기 위해 흔한 뱅킹 멀웨어 살포 전략을 사용한다. “한 마디로 그럴 듯한 미끼를 사용해 피해자들을 낚는 건데, 드로이드봇 운영자들도 대부분 해커들처럼 보안 애플리케이션, 구글 서비스, 유명 은행 앱 등을 미끼로 쓰는 편입니다. 이런 정상 애플리케이션이나 서비스로 위장한 채 피해자가 다운로드하도록 유도하는 것이죠.”
그런 다음에 이뤄지는 일도 기존 다른 해킹 공격과 비슷하다. 접근성 서비스를 조작하려 시도하는 건데, 이는 주로 설치 단계에서 실행된다. 그렇게 해서 피해자의 시스템을 감염시키는 데 성공한 드로이드봇은 다음과 같은 기능을 발휘하게 된다고 클리파이는 설명한다.
1) 문자 가로채기 : 주로 이중인증을 뚫어내기 위해 존재하는 기능
2) 키로깅 : 접근성 서비스를 악용해 화면에 표시되거나 사용자가 입력한 민감 정보를 캡처한다.
3) 오버레이 공격 : 피해자가 은행 앱을 열면 가짜 로그인 페이지를 앱 위에 표시해 크리덴셜을 가로챈다.
4) 스크린샷 캡처 : 주기적으로 피해자의 스크린샷을 촬영함으로써 실시간 모니터링이 가능해진다.
5) 화면 조작 : 접근성 서비스를 통해 피해자 장비를 원격에서 제어할 수 있게 된다. 버튼 클릭, 양식 작성, 앱 내 탐색 등이 가능해진다.
“사실 이런 기능들은 대부분 현대 뱅킹 트로이목마에서 흔히 볼 수 있는 것으로 그리 놀랍다고 할 수 없습니다. 하지만 드로이드봇은 그게 다가 아닙니다. 다른 멀웨어에서 볼 수 없는 독특한 점들이 있습니다.”
드로이드봇만의 특징
먼저 드로이드봇은 비정형적인 C&C 통신 방법을 사용하는데, 이 때 메시징 프로토콜 중 하나인 MQTT를 활용한다. MQTT는 경량화 된, 가벼운 프로토콜로 원래 사물인터넷 및 실시간 메시징 시스템에서 사용된다. “드로이드봇은 피해자의 장비를 감염시킨 뒤 바로 이 가벼운 메시징 프로토콜로 훔친 정보를 내보냅니다. 이는 매우 드문 사례입니다. 아직까지 탐지율이 높지 않은 방법이기도 한데, 공격자들이 이 점을 잘 꿰뚫어본 것이라고 할 수 있습니다. 앞으로 더 많은 멀웨어들이 MQTT를 차용하지 않을까 합니다.”
드로이드봇의 소스코드 내에는 도메인 주소들이 하드코딩 되어 있는데, 바로 이 주소들로 드로이드봇은 HTTP 요청을 보낸다. 그러면 주소 값이 되돌아오는데, 드로이드봇의 초기 버전에서는 이 주소 값이 평문으로 작성됐습니다. 하지만 그 후 나온 버전에서는 베이스64(Base64)로 인코딩 됩니다. “드로이드봇은 이 값을 복호화 해서 연결을 시도합니다. 그렇게 해서 피해자와 MQTT 브로커가 연결이 되며, 공격자는 여기서부터 추가 악성 행위를 실시할 수 있게 됩니다.”
공격자들은 MQTT 통신을 보호하기 위해 암호화 루틴을 사용해 데이터를 난독화 하기도 한다. 이 루틴은 네 가지 단계로 구성된다.
1) 직렬화 : 메시지를 UTF-8 인코딩 기법으로 변환시킨다.
2) XOR 암호화 : 변환된 데이터를 다시 XOR로 암호화시킨다.
3) 압축 : 암호화 된 바이트를 zlib 알고리즘으로 압축한다.
4) MQTT 전송 : 압축된 결과 값을 MQTT 브로커로 전송한다.
이 덕분에 탐지, 추적, 분석 모두가 어렵게 된다.
모바일 생태계에서 드문 MaaS
하지만 드로이드봇의 가장 중요한 특징은 MaaS 형태로 운영되고 있다는 것이다. MaaS는 Malware-as-a-Service 즉 ‘서비스형 멀웨어’라는 뜻이다. 드로이드봇의 개발자가 악성코드 및 서비스를 다른 사이버 범죄자들에게 대여해주는 사업을 겸하고 있다는 의미가 된다. 일종의 비즈니스 모델로서 드로이드봇이 개발됐다는 것이다. “드로이드봇의 C&C 인프라를 분석했을 때 운영자와 구매자만 고급 기능에 접근할 수 있도록 설계되어 있다는 걸 알 수 있었습니다. 안드로이드 멀웨어 생태계에서 MaaS 사업은 의외로 흔치 않습니다. 대부분 윈도 환경의 위협들 사이에서 나타나는 것이죠.”
이게 하나의 사업으로서 자리를 잡아간다는 건 누군가 이것을 광고하고 있다는 뜻이 되며, 클리파이는 이런 광고를 러시아 해커 포럼에서 발견할 수 있었다. 광고를 통해 드로이드봇 개발자들이 주장하는 내용을 파악할 수 있었는데, 이는 다음과 같았다.
1) 개발자의 경험이 풍부하다. 그러므로 기능성과 안정성에서 안심할 수 있다.
2) 다양한 서비스가 구독료 안에 포함되어 있다.
3) 강력한 안드로이드 기반 기능을 자랑한다(원격 제어, 자동 이체 시스템 등)
4) 국가 제한이 없는데, 그러므로 과거 소비에트 연방 국가들도 공격 대상에 포함된다.
뿐만 아니라 클리파이 연구원들은 이 광고 글에서 구매자들을 위한 텔레그램 링크도 발견할 수 있었다. “접속했더니 드로이드봇 기능과 월 구독료에 대한 보다 상세한 정보가 제공되는 방으로 연결됐습니다. 개발자는 C&C 패널의 특정 세부 내용이 나와 있는 스크린샷을 공유하기도 하는 등 보다 적극적으로 기능을 홍보하고 있었습니다.”
이 정보들을 바탕으로 여러 가지 정보를 얻어낼 수 있었다. “일단 스크린샷을 통해 날짜, 시간, 날씨 정보를 확보했습니다. 개발자의 운영 체제는 터키어로 설정되어 있었고, 날씨 역시 터키 앙카라 지역의 그것을 가리키고 있었습니다. 터키어를 사용하며, 터키에 거주 중인 자가 이 캠페인의 배후에 있다는 것이 보다 명확해진 것이었죠.”
또한 드로이드봇과 협력 관계에 있는 것으로 보이는 봇넷 그룹의 존재가 확인되기도 했다. “MQTT 브로커를 통해 드로이드봇과 연결된 특정 봇넷의 트래픽을 가로채는 데 성공하면서 17개가 넘는 봇넷 그룹이 드로이드봇과 연결되어 있음을 확인했습니다. 그러면서 실시간으로 봇넷 통신 스트림을 분석할 수 있었고, 그러면서 봇넷의 크기와 지리적 분포도를 추정할 수 있게 됐습니다.”
공격자들이 봇넷을 통해 어떤 기능을 수행할 수 있는지도 관찰이 가능했다고 한다. 정리하자면 다음과 같다.
1) 은행 크리덴셜 정보 수집
2) 전화 통화 조작
3) VNC를 통한 원격 접근
4) 가짜 푸시 알람 전송
5) 데이터 수집
드로이드봇이 시사하는 건?
기술적인 관점에서 봤을 때 드로이드봇은 기존의 악성 코드들과 유사하며 혁신적인 측면은 거의 없다고 봐도 무방하다. 그럼에도 클리파이가 장문의 보고서를 작성해 세상에 공개한 건 드로이드봇 만의 특징이 있기 때문이었다. “운영 모델이 상당히 독특합니다. 먼저 앞에서도 언급했지만 모바일 환경에서 MaaS 사업은 그리 흔한 형태가 아닙니다. 그 멀웨어가 랜섬웨어일 때는 RaaS라는 사업의 형태가 존재합니다만 RAT이나 스파이웨어가 이런 식으로 유포되는 건 드뭅니다.”
MaaS를 통해 개발자가 수익 구조를 창출했다는 것이 중요한 게 아니다. 그건 랜섬웨어 공격자들 사이에서도 이미 흔한 수법이다. “드로이드봇의 경우 MaaS 사업을 통해 ‘제휴 모델’을 도입했다는 게 중요한 포인트입니다. 여러 공격자들과 제휴함으로써 드로이드봇은 공격 확산 속도를 획기적으로 높일 수 있었고, 그럼으로써 모니터링에 대한 필요성을 급격히 늘려 보안 담당자들에게 부담을 안겼습니다. 드로이드봇이 주로 금융권을 노렸다는 것이 중요한데, 드로이드봇이 제휴 모델을 통해 공격 수위를 높이면 각 금융사의 실시간 모니터링 팀 혹은 사기 대응 팀이 영향을 받을 수밖에 없습니다. 그러므로 MaaS에 구독료를 내는 고객들 하나하나의 공격 성공률이 높아지죠.”
물론 개발자가 이런 큰 그림까지 그리고 MaaS 사업을 시작한 것인지는 확인할 길이 없다. 다만 클리파이는 “앞으로 이러한 형태의 사업을 모방한 공격자들이 늘어날 가능성이 높아 보인다”고 우려하고 있다. 공격 효과가 꽤나 좋기 때문이다. “공격자들이 뭘 얼마나 얻어갔는지는 아직 집계가 다 되지 않고 있습니다만, 방어하는 쪽에서 우왕좌왕 하고 있는 건 맞습니다. 공격이 빠르게 확산되어 가고 있는데도 아직 제대로 탐지를 못하고 있으니까요.”
3줄 요약
1. 새로워 보일 것이 없는 봇넷 멀웨어가 새롭게 발견됨.
2. 하지만 통신 체계라든가 운영 방식에서 독특한 점들이 있고, 모방이 우려되는 상황.
3. 일단 금융권이 유심히 지켜봐야 할 내용.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
