다양한 기능 가진 트로이목마, 한 달에 500달러면 계약 완료
여러 은행과 지불 시스템 공격 가능...C&C 서버 없어 트위터로 연결

[보안뉴스 문가용 기자] 안드로이드용 트로이목마인 레드알러트 2.0(Red Alert 2.0)이 작년 9월 공개된바 있다. 그런데 이 멀웨어가 현재 암시장에서 한 달 500달러의 가격으로 판매되고 있다고 보안 업체 트러스트웨이브(Trustwave)가 발표했다.


[이미지 = iclickart]

레드알러트는 트로이목마, 즉 백도어의 역할을 할뿐만 아니라 정보를 훔쳐낼 수도 있다. 여기서 훔쳐낼 수 있는 정보란 문자 메시지, 상세 연락처 정보 등을 말한다. 또한 은행에서 걸려오는 전화도 차단하고, 원래의 C&C 서버가 오프라인이 됐을 경우 트위터를 통해 다른 봇들과도 연결된다.

작년 9월 레드알러트를 공개한 건 보안 업체 스파이랩스(SfyLabs)다. 당시 스파이랩스 전문가들은 “레드알러트 2.0은 로그인 크리덴셜을 훔치는 것을 기본으로 하고 있는 멀웨어이지만, 공격자가 꾸준한 업데이트를 통해 기능을 늘려나가고 있다”고 발표했었다.

이번에 트러스트웨이브가 발표한 바에 의하면 레드알러트 2.0의 멀웨어 제작자가 새롭게 광고를 시작했다고 한다. 호주, 오스트리아, 캐나다, 체코, 폴란드, 덴마크, 독일, 프랑스, 리투아니아, 인도, 이탈리아, 아일랜드, 일본, 뉴질랜드, 루마니아, 스페인, 스웨덴, 터키, 영국, 미국의 은행 약 120곳을 대상으로 작동한다고 광고에는 나와 있다.

또한 멀웨어 개발자는 다양한 결제 및 지불 시스템을 공격할 수도 있다고 한다. 페이팔(Paypal), 에어비엔비(Airbnb), 코인베이스(Coinbase), 포커 스타즈(Poker Stars), 넷텔러(Neteller), 스크릴(Skrill), 유노코인(Unocoin) 등이 여기에 속한다. 아마존, 이베이, 라인, 겟택시, 스냅챗, 바이버, 인스타그램, 페이스북, 스카이프, 우버, 위챗, 왓츠앱 등도 공격할 수 있다고 개발자는 광고하고 있다.

이것이 공격 범위라면 기능도 다양하다. 문자 메시지도 훔쳐내고, APK도 실행할 수 있다. 새로운 기술도 개발 중에 있다고 하는데, 이는 고객들의 요청에 따라 커스터마이징 된다고 한다. 업데이트는 2주에 한 번씩 진행된다는 약속도 함께다. 옵션이 다 빠진 레드알러트는 일주일에 200달러이고, 한 달 500달러다. 2개월 계약하면 999달러다.

레드알러트 2.0 공격은 현재까지 스팸 메시지에 첨부된 파일 형태로 퍼져가고 있다. 그러나 이미 작년 9월에 분석된 멀웨어인지라 바이러스토탈(VirusTotal)에 등록된 백신의 절반 이상이 레드알러트 2.0을 잡아낼 수 있다.

레드알러트 2.0이 설치될 땐 사용자에게 여러 가지 권한을 요구한다. 읽기와 쓰기, 문자 메시지 접수, 전화 걸기, 네트워크 상태 변경 등의 권한이 여기에 포함된다. 이런 권한들을 모두 허용되어야 구매자들에게 약속한 기능을 발휘할 수 있게 된다.

또한 C&C 서버와의 연결을 확인하고, 장비 내에서 멀웨어가 계속해서 돌아가도록 보장해주는 서비스도 계약 조건에 포함되어 있다. 고객들이 C&C를 통해 확실히 명령을 전달할 수 있도록 보장해주는 것으로, 장비가 리부트 될 때 이 서비스가 유용하다.

C&C 서버에서는 템플릿이 전송되기도 하는데, 이 템플릿은 정상 앱 위에 오버레이 된다. 그래서 사용자 눈을 속이고 여러 가지 정보를 탈취할 수 있다. 주로 관리자급 크리덴셜을 취득하는 데 사용된다.

C&C 서버와의 통신은 HTTP POST 요청을 통해 이뤄진다. 현재 이 C&C 서버와 연결된 웹사이트는 오프라인 상태다. 그렇기에 레드알러트는 트위터를 통해 공격자와 연락을 시도한다. “현재 C&C 서버는 죽어 있는 상태입니다. 그래서 리버스 엔지니어링을 다 완료할 수 없었습니다. 하지만 광고가 꾸준히 이어지는 것을 보면 공격자가 다른 방법을 강구한 것이 확실해 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>