교묘한 케르베로스...단순 환율앱으로 위장해 배포돼...실제 악성 코드는 업데이트 통해
C&C 서버도 잠깐 동안만 활동해 탐지 어려워...보안 기본 수칙 잘 지키는 것이 정답
[보안뉴스 문가용 기자] 단순한 환율 계산 애플리케이션인 줄 알고 이미 1만 명 이상이 구글 공식 플레이 스토어에서 다운로드 받아 설치했는데, 알고 보니 케르베로스(Cerberus)라는 뱅킹 트로이목마였다고 한다.
[이미지 = utoimage]
케르베로스는 ‘서비스형 멀웨어(MaaS)’의 일종으로, 모바일 장비를 감염시켜 공격자들이 원격에서 접근할 수 있도록 해주는 것으로 유명하다. 또한 키스트로크를 로깅하며 크리덴셜을 훔쳐내고, 구글 오센티케이터(Google Authenticator)의 정보와 문자 정보를 외부로 빼돌리기도 한다.
이번에 발견된 케르베로스는 스페인의 안드로이드 사용자들을 노리고 만들어진 것으로 보인다. 환율 계산 앱으로 위장되어 있는데, 그 앱이 스페인어로 만들어져 있기 때문이다. 구글 측은 이 앱에 숨어 있는 케르베로스를 놓친 상태에서 공식 스토어에 등록해주었고, 케르베로스는 수주 동안 여러 사용자들을 감염시켰다.
케르베로스는 현재까지 약 1만 번 다운로드 됐고, 이 사용자들의 온라인 뱅킹과 관련된 정보들을 훔쳐냈다. 케르베로스가 숨어 있던 앱은 ‘Calculadora de Moneda’이며, 지금은 보안 업체 어베스트(Avast)가 적발해 구글에 보고해 삭제된 상태다.
사실 구글을 탓하기도 힘든 것이, 공격자들이 교묘한 수법을 사용했기 때문이다. 그것은 바로 악성 기능을 추후 업데이트 형태로 배포하는 것이었다. 애플리케이션 설치 후 배포된 업데이트 속에 드로퍼 기능을 가진 코드가 포함되어 있고, C&C 서버는 업데이트가 설치되고도 한참 후에 명령을 내리기 시작했다.
C&C 서버가 한참을 기다린 이후에 내린 명령은, 케르베로스 뱅킹 트로이목마를 다운로드 하라는 것이었다. 환율 앱은 케르베로스 뱅킹 트로이목마를 다운로드 해 설치하고, 케르베로스는 사용자들의 온라인 활동을 모니터링 하다가 뱅킹 애플리케이션이 시작되면 가짜 로그인 페이지를 화면에 노출시켰다.
아무 것도 모르는 사용자는 똑같이 생긴 로그인 화면에 크리덴셜을 입력했고, 이 정보는 곧장 공격자들의 서버로 날아갔다. 게다가 케르베로스는 구글 오센티케이터와 문자도 볼 수 있기 때문에 이중 인증 장치도 뚫을 수 있다. 은행을 통해 사기 거래를 할 모든 조건이 갖춰진 것이다.
보안 업체 어베스트에 의하면 C&C 서버는 아주 잠깐 동안 살아나 악성 페이로드를 배포하고 사라졌다고 한다. 즉, C&C가 활동한 기간이 아니라면, 사실 Calculadora de Moneda 앱 자체로 악성 기능을 가지고 있다고 보기 힘들다는 것이다. 이 때문에 구글이 이 앱을 찾아내기가 힘들었을 것이라고 어베스트는 설명한다.
그럼에도 이런 식의 공격에 당하지 않기 위해서는 여러 가지 기본 보안 실천 사항을 지키는 것이 좋다고 어베스트는 권장한다.
1) 공식 뱅킹 앱만 사용한다
2) 이중 인증을 적용한다.
3) 공식 스토어에서만 앱을 다운로드 받는다
4) 다운로드 받기 전에 별점과 후기를 꼼꼼하게 확인한다
5) 설치 시 앱이 요구하는 권한을 확인하고 검토한다
6) 모바일 보안 솔루션을 설치한다
“물론 공식 스토어를 통해 멀웨어가 배포됐고, 업데이트라는 눈속임 기법으로 악성 코드가 설치됐다는 점에서 이런 권장 사항들이 무슨 소용이 있는가, 라고 물을 수 있습니다. 하지만 예를 들어 공식 스토어가 아니면 앱이 설치되지 않도록 설정해 두면, 업데이트를 통해 악성 코드가 다운로드 되는 일을 막을 수 있었을 겁니다. 따라서 예외적으로 보이는 경우라 하더라도 기본 수칙을 잘 지키는 것이 보안의 정답임에는 변함이 없습니다.”
3줄 요약
1. 스페인 환율 앱으로 위장한 케르베로스, 구글 플레이 스토어 통해 퍼짐.
2. 설치 후 진행된 업데이트 통해 실제 악성 코드 주입되고 C&C 서버도 한참 있다가 명령 내림.
3. “플레이 스토어 외 다른 출처의 앱을 설치하지 않도록 설정했다면 피해 없었을 것.”
[국제부 문가용 기자(globoan@boannews.com)]
C&C 서버도 잠깐 동안만 활동해 탐지 어려워...보안 기본 수칙 잘 지키는 것이 정답
[보안뉴스 문가용 기자] 단순한 환율 계산 애플리케이션인 줄 알고 이미 1만 명 이상이 구글 공식 플레이 스토어에서 다운로드 받아 설치했는데, 알고 보니 케르베로스(Cerberus)라는 뱅킹 트로이목마였다고 한다.
[이미지 = utoimage]
케르베로스는 ‘서비스형 멀웨어(MaaS)’의 일종으로, 모바일 장비를 감염시켜 공격자들이 원격에서 접근할 수 있도록 해주는 것으로 유명하다. 또한 키스트로크를 로깅하며 크리덴셜을 훔쳐내고, 구글 오센티케이터(Google Authenticator)의 정보와 문자 정보를 외부로 빼돌리기도 한다.
이번에 발견된 케르베로스는 스페인의 안드로이드 사용자들을 노리고 만들어진 것으로 보인다. 환율 계산 앱으로 위장되어 있는데, 그 앱이 스페인어로 만들어져 있기 때문이다. 구글 측은 이 앱에 숨어 있는 케르베로스를 놓친 상태에서 공식 스토어에 등록해주었고, 케르베로스는 수주 동안 여러 사용자들을 감염시켰다.
케르베로스는 현재까지 약 1만 번 다운로드 됐고, 이 사용자들의 온라인 뱅킹과 관련된 정보들을 훔쳐냈다. 케르베로스가 숨어 있던 앱은 ‘Calculadora de Moneda’이며, 지금은 보안 업체 어베스트(Avast)가 적발해 구글에 보고해 삭제된 상태다.
사실 구글을 탓하기도 힘든 것이, 공격자들이 교묘한 수법을 사용했기 때문이다. 그것은 바로 악성 기능을 추후 업데이트 형태로 배포하는 것이었다. 애플리케이션 설치 후 배포된 업데이트 속에 드로퍼 기능을 가진 코드가 포함되어 있고, C&C 서버는 업데이트가 설치되고도 한참 후에 명령을 내리기 시작했다.
C&C 서버가 한참을 기다린 이후에 내린 명령은, 케르베로스 뱅킹 트로이목마를 다운로드 하라는 것이었다. 환율 앱은 케르베로스 뱅킹 트로이목마를 다운로드 해 설치하고, 케르베로스는 사용자들의 온라인 활동을 모니터링 하다가 뱅킹 애플리케이션이 시작되면 가짜 로그인 페이지를 화면에 노출시켰다.
아무 것도 모르는 사용자는 똑같이 생긴 로그인 화면에 크리덴셜을 입력했고, 이 정보는 곧장 공격자들의 서버로 날아갔다. 게다가 케르베로스는 구글 오센티케이터와 문자도 볼 수 있기 때문에 이중 인증 장치도 뚫을 수 있다. 은행을 통해 사기 거래를 할 모든 조건이 갖춰진 것이다.
보안 업체 어베스트에 의하면 C&C 서버는 아주 잠깐 동안 살아나 악성 페이로드를 배포하고 사라졌다고 한다. 즉, C&C가 활동한 기간이 아니라면, 사실 Calculadora de Moneda 앱 자체로 악성 기능을 가지고 있다고 보기 힘들다는 것이다. 이 때문에 구글이 이 앱을 찾아내기가 힘들었을 것이라고 어베스트는 설명한다.
그럼에도 이런 식의 공격에 당하지 않기 위해서는 여러 가지 기본 보안 실천 사항을 지키는 것이 좋다고 어베스트는 권장한다.
1) 공식 뱅킹 앱만 사용한다
2) 이중 인증을 적용한다.
3) 공식 스토어에서만 앱을 다운로드 받는다
4) 다운로드 받기 전에 별점과 후기를 꼼꼼하게 확인한다
5) 설치 시 앱이 요구하는 권한을 확인하고 검토한다
6) 모바일 보안 솔루션을 설치한다
“물론 공식 스토어를 통해 멀웨어가 배포됐고, 업데이트라는 눈속임 기법으로 악성 코드가 설치됐다는 점에서 이런 권장 사항들이 무슨 소용이 있는가, 라고 물을 수 있습니다. 하지만 예를 들어 공식 스토어가 아니면 앱이 설치되지 않도록 설정해 두면, 업데이트를 통해 악성 코드가 다운로드 되는 일을 막을 수 있었을 겁니다. 따라서 예외적으로 보이는 경우라 하더라도 기본 수칙을 잘 지키는 것이 보안의 정답임에는 변함이 없습니다.”
3줄 요약
1. 스페인 환율 앱으로 위장한 케르베로스, 구글 플레이 스토어 통해 퍼짐.
2. 설치 후 진행된 업데이트 통해 실제 악성 코드 주입되고 C&C 서버도 한참 있다가 명령 내림.
3. “플레이 스토어 외 다른 출처의 앱을 설치하지 않도록 설정했다면 피해 없었을 것.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
