해외 서버를 둔 불법 성매매 알선 사이트 통해 ‘채팅 서비스’로 위장한 악성 앱 유포
iOS 사용자 노리기 위해 기업용 내부 전용 앱 배포 기능도 악용
[보안뉴스 이상우 기자] 이스트시큐리티(대표 정상원)가 해외에 서버를 둔 불법 성매매 소개 사이트에서 채팅 서비스를 위장한 악성 앱을 유포하고 있어 주의가 필요하다고 전했다. 해당 불법 성매매 소개 사이트에서 안드로이드용 악성 앱 뿐만 아니라, 아이폰(iOS)용 악성 앱 설치도 유도하고 있어 상대적으로 악성 앱 보안 위협에서 안전하다고 알려진 아이폰 사용자 역시 주의해야 한다.
▲악성 앱 유포 사이트 및 기업용 배포 기능에 동의하도록 유도하는 화면[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 악성 앱이 주로 불법 성인 사이트를 통해 은밀하게 유포되고 있는 것을 확인했으며, 운영 중인 웹 사이트가 차단되면 계속해 새로운 주소를 적극 개설 중인 것으로 분석했다. PC에서 불법 사이트에 접속하면 악성 채팅 앱 다운로드를 유도하는 안내 화면을 보여주고, 스마트폰으로 접근을 유도한다. 실제로 스마트폰으로 접속할 경우 악성 앱을 내려받을 수 있으며, 스마트폰 기종에 따라 Android(안드로이드), iPhone(아이폰)용 악성 앱 설치를 유도한다.
일반적인 아이폰용 앱의 경우 공식 앱스토어를 통해서만 설치가 가능하다. 반면, 이번 악성 앱은 공식 앱스토어를 통하지 않고 앱을 배포할 수 있는 ‘Apple Developer Enterprise Program’ 방식을 악용했다. 해당 기능은 기업이 자체 개발해 내부적으로만 사용하는 업무용 iOS 앱을 조직원에게 배포하는 기능으로, 사용자가 수동으로 ‘신뢰’ 항목을 설정하지 않으면 설치되지 않는다.
공격자는 앱스토어 외부에 악성 앱을 유포하기 위해 IPA(iOS App Store Package) 파일에 엔터프라이즈 인증서가 있는 ‘모바일 프로비저닝 프로필’ 등을 획득해 악성 앱이 설치되도록 유도한 것으로 보이며, iOS 사용자에게 설치 방법 안내를 따로 제공하는 치밀함도 보였다.
ESRC에서는 악성 앱 유포에 사용된 웹사이트를 한국인터넷진흥원(KISA)과 긴밀히 협력을 통해 신속히 접속 차단했다. 또한, 불법 사이트에서 유포된 아이폰용 악성 앱의 설치 재현도 성공했으며, 카메라 앱으로 위장한 변종 악성 앱의 유포 정황도 포착했다.
이스트시큐리티 ESRC센터장 문종현 이사는 “일반적으로 스마트폰에는 민감하고 사적인 개인 자료가 저장되어 있기 때문에, 많은 사이버 범죄자가 스마트 기기 정보 탈취를 목적으로 다양한 시도를 하고 있다”며, “이번 아이폰용 악성 앱은 감염된 단말기의 피해자 전화번호, 연락처 목록을 훔치는 기능을 수행하고, 이를 통해 추후 몸캠 피싱과 유사한 사이버 협박 등에 활용할 수 있다”고 주의를 당부했다.
이어 “이러한 방식이 진화를 거듭할 경우 아이폰 사용자를 대상으로 한 악성 앱 노출 가능성도 증가할 것으로 예상되기 때문에 안드로이드 사용자는 물론 아이폰 사용자 역시 반드시 공식 앱스토어를 통해서 앱을 설치하는 습관을 가져야 한다”고 덧붙였다.
한편, 이스트시큐리티는 새롭게 발견된 악성 앱을 백신 프로그램 알약(ALYac)에 ‘Trojan.iOS.Xagent’ 등의 탐지명으로 다수 추가했고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다고 밝혔다.
[이상우 기자(boan@boannews.com)]
iOS 사용자 노리기 위해 기업용 내부 전용 앱 배포 기능도 악용
[보안뉴스 이상우 기자] 이스트시큐리티(대표 정상원)가 해외에 서버를 둔 불법 성매매 소개 사이트에서 채팅 서비스를 위장한 악성 앱을 유포하고 있어 주의가 필요하다고 전했다. 해당 불법 성매매 소개 사이트에서 안드로이드용 악성 앱 뿐만 아니라, 아이폰(iOS)용 악성 앱 설치도 유도하고 있어 상대적으로 악성 앱 보안 위협에서 안전하다고 알려진 아이폰 사용자 역시 주의해야 한다.
▲악성 앱 유포 사이트 및 기업용 배포 기능에 동의하도록 유도하는 화면[자료=이스트시큐리티]
이스트시큐리티 시큐리티대응센터(이하 ESRC)는 악성 앱이 주로 불법 성인 사이트를 통해 은밀하게 유포되고 있는 것을 확인했으며, 운영 중인 웹 사이트가 차단되면 계속해 새로운 주소를 적극 개설 중인 것으로 분석했다. PC에서 불법 사이트에 접속하면 악성 채팅 앱 다운로드를 유도하는 안내 화면을 보여주고, 스마트폰으로 접근을 유도한다. 실제로 스마트폰으로 접속할 경우 악성 앱을 내려받을 수 있으며, 스마트폰 기종에 따라 Android(안드로이드), iPhone(아이폰)용 악성 앱 설치를 유도한다.
일반적인 아이폰용 앱의 경우 공식 앱스토어를 통해서만 설치가 가능하다. 반면, 이번 악성 앱은 공식 앱스토어를 통하지 않고 앱을 배포할 수 있는 ‘Apple Developer Enterprise Program’ 방식을 악용했다. 해당 기능은 기업이 자체 개발해 내부적으로만 사용하는 업무용 iOS 앱을 조직원에게 배포하는 기능으로, 사용자가 수동으로 ‘신뢰’ 항목을 설정하지 않으면 설치되지 않는다.
공격자는 앱스토어 외부에 악성 앱을 유포하기 위해 IPA(iOS App Store Package) 파일에 엔터프라이즈 인증서가 있는 ‘모바일 프로비저닝 프로필’ 등을 획득해 악성 앱이 설치되도록 유도한 것으로 보이며, iOS 사용자에게 설치 방법 안내를 따로 제공하는 치밀함도 보였다.
ESRC에서는 악성 앱 유포에 사용된 웹사이트를 한국인터넷진흥원(KISA)과 긴밀히 협력을 통해 신속히 접속 차단했다. 또한, 불법 사이트에서 유포된 아이폰용 악성 앱의 설치 재현도 성공했으며, 카메라 앱으로 위장한 변종 악성 앱의 유포 정황도 포착했다.
이스트시큐리티 ESRC센터장 문종현 이사는 “일반적으로 스마트폰에는 민감하고 사적인 개인 자료가 저장되어 있기 때문에, 많은 사이버 범죄자가 스마트 기기 정보 탈취를 목적으로 다양한 시도를 하고 있다”며, “이번 아이폰용 악성 앱은 감염된 단말기의 피해자 전화번호, 연락처 목록을 훔치는 기능을 수행하고, 이를 통해 추후 몸캠 피싱과 유사한 사이버 협박 등에 활용할 수 있다”고 주의를 당부했다.
이어 “이러한 방식이 진화를 거듭할 경우 아이폰 사용자를 대상으로 한 악성 앱 노출 가능성도 증가할 것으로 예상되기 때문에 안드로이드 사용자는 물론 아이폰 사용자 역시 반드시 공식 앱스토어를 통해서 앱을 설치하는 습관을 가져야 한다”고 덧붙였다.
한편, 이스트시큐리티는 새롭게 발견된 악성 앱을 백신 프로그램 알약(ALYac)에 ‘Trojan.iOS.Xagent’ 등의 탐지명으로 다수 추가했고, 대응 조치를 관련 부처와 긴밀하게 진행하고 있다고 밝혔다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
