안드로이드 생태계에 새 멀웨어가 등장했다. 스스로를 숨기기 위한 각종 기능에 더해 정보를 빼돌리기 위한 기능도 다양하게 가지고 있다는 특징이 있다. 종합적인 대처가 필요하다.
3줄 요약
1. 안드로이드 생태계에 새 고급 멀웨어 등장. 이름은 파이어스캠.
2. 파이어베이스를 활용하는 등 악성임을 숨기기 위한 노력이 처절한 멀웨어.
3. 은밀하면서도 있을 기능은 다 가지고 있는 최첨단 멀웨어이자 종합적 위협.
[보안뉴스 문가용 기자] 안드로이드 생태계에 새로운 위협이 등장했다. 꽤나 고차원적인 기능을 가진 정보 탈취형 멀웨어로, 텔레그램 프리미엄(Telegram Premium) 앱으로 위장한 채 퍼지고 있다. 이름은 파이어스캠(FireScam)이며, 보안 업체 사이퍼마(Cyfirma)가 처음 발견해 분석한 후 세상에 알렸다. 사이퍼마는 “파이어스캠을 흔한 안드로이드 멀웨어 중 하나로 치부해서는 안 되며, 강력한 보안 조치를 수립해 대비해야 한다”고 강조했다. 도대체 어떤 위협이기에 그런 것일까?
[이미지 = gettyimagesbank]
긴 분석 글을 읽을 시간이 없는 사람들을 위해 파이어스캠의 ‘위협적 특성’을 간단히 정리하자면 다음과 같다.
1) 정보 탈취 기능 : 피해자의 장비에서 정보를 빼돌리는, 일종의 스파이웨어다.
2) 피싱 웹사이트를 통해 배포 : 깃허브와 비슷한 이름을 가진 도메인인 GitHub,io에서부터 퍼지고 있다. ‘텔레그램 프리미엄’이라는 이름을 가진 APK 파일이다. 문제는 이 가짜 깃허브 사이트가 도메인은 깃허브를 흉내 내지만 사이트 자체는 러시아의 애플리케이션 스토어인 루스토어(RuStore)와 똑같이 생겼다는 것이다.
3) 드로퍼를 통한 감염 : 피싱 웹사이트에서 문제의 파일(텔레그램 프리미엄 APK)을 다운로드 해야만 감염되는 게 아니다. 피싱 웹사이트 드로퍼가 호스팅되어 있으며, 이 드로퍼를 통해서도 파이어스캠은 설치된다.
4) 파이어베이스(Firebase)를 통한 데이터 탈취 : 파이어스캠은 피해자의 장비로부터 각종 데이터를 훔쳐낸 뒤, 파이어베이스라는 데이터베이스 엔드포인트로 그 데이터들을 빼돌린다.
5) 피해자 장비 감시 : 위에 썼다시피 파이어스캠은 스파이웨어다. 피해자의 장비를 꼼꼼하게 모니터링하며, 이를 통해 각종 정보를 실시간으로 획득하기도 한다.
6) 알림 탐지 : 피해자 장비에서 나오는 다양한 알림들을 중간에서 가로챔으로서 민감한 정보를 탈취하기도 하고, 피해자의 활동에 대한 보다 깊이 있는 통찰을 얻어내기도 한다.
7) 탐지 기술 회피 : 파이어스캠은 악성 행위를 숨기고 분석과 추적을 보다 어렵게 만드는 기술을 탑재하고 있다.
8) 분석 환경 탐지 : 위 7)과도 연결되어 있는 특성인데, 가상 환경을 미리 탐지 및 확인하는 기능도 포함하고 있다.
9) 파이어베이스를 C&C로 활용 : 위에서 언급된 파이어베이스를 단순 데이터 유출 장소로만 활용하는 게 아니다. 이를 통해 각종 페이로드와 명령을 추가로 받을 수도 있다.
10) 파이어베이스 내 데이터 관리 : 파이어스캠의 배후 세력은 파이어베이스에 저장된 데이터를 검토하고 확인하여 가치 있는 것들만 남기고 나머지는 삭제한다. 즉 공격자가 분명한 의도를 가지고 이 캠페인을 실시하는 것으로 추정된다.
우선 숨고 보는 멀웨어
파이어스캠에서 가장 눈에 띄는 건 분석과 역공학을 어렵게 만들기 위해 많은 노력을 기울이고 있다느 것이다. 어떤 기법이나 전략이 활용되고 있을까? 사이퍼마는 분석을 통해 크게 네 가지를 발견할 수 있었다고 한다. 이는 다음과 같다.
1) 프로세스 이름 확인 : 파이어스캠은 런타임에 프로세스 이름을 식별하며, 이를 통해 애플리케이션이 샌드박스 환경에서 실행 중인지 실제 기기에서 실행 중인지를 확인한다.
2) 환경 분석 : 설치된 애플리케이션을 확인하고, 장비 모델, 제조사, 빌드 버전 등 주요 정보를 수집한다. 그리고 이 정보를 통해 가상 환경에서 실행되고 있는 건 아닌지 확인한다.
3) 악성 동작의 조건부 실행 : 샌드박스나 디버깅 환경이 탐지되면 악성 동작을 하지 않는다. 따라서 분석이나 추적이 어려워진다.
4) 환경에 따른 최적화 : 위에서 언급된 것처럼 장비를 세밀하게 프로파일링 하며, 그것을 바탕으로 피해자의 환경에 따라 행동을 조정하기도 한다. APT 조직들이 흔히 보여주는 기술이기도 하다. 스스로는 탐지되지 않은 상태로 피해자의 정보를 수집하는 데 유용하다.
침투에 성공한 파이어스캠은 본격적인 활동을 시작하는데, 그 활동의 가짓수가 상당하다. 요약하면 다음과 같다.
파이어스캠의 주요 기능
결국 파이어스캠이 가진 주요 기능을 요약하자면 다음과 같다.
1) 민감한 데이터 탈취 : 파이어베이스 리얼타임데이터베이스로 민감한 데이터를 탈취한다.
2) 알림 모니터링 : 다양한 앱의 알림을 관찰하고 내용을 캡쳐한다.
3) 피싱 페이지 사용 : 웹뷰(WebView)를 통해 가짜 텔레그램 로그인 페이지를 표시하여 사용자의 크리덴셜을 탈취한다.
4) USSD 응답 모니터링 : USSD 응답을 모니터링 하며, 계좌 잔액과 같은 데이터를 탈취한다.
5) 클립보드와 콘텐츠 모니터링 : 앱 간 공유된 클립보드 내용을 모니터링하여 민감한 정보를 빼간다.
6) 장치 상태 변경 감지 : 화면 꺼짐 및 켜짐을 감시한다.
7) 전자상거래 추적 : 거래 행위를 추적하고 금융 데이터를 빼돌린다.
8) 메시지 앱 감시 : 메시지 앱의 활동을 모니터링하고 캡쳐된 메시지를 탈취한다..
9) 화면 활동 추적 : 화면을 통해 피해자가 하는 일을 캡쳐한다.
10) 탐지 회피 : 난독화 기술을 써서 추적과 분석을 어렵게 만든다.
11) 푸시 알림 수신 : 파이어베이스 클라우드메시징 푸시 알림을 수신하여 원격 명령을 실행할 수 있게 된다.
“파이어스캠은 매우 정교한 멀웨어로, 텔레그램 프리미엄 앱으로 위장되어 있습니다. 위장술만 그럴듯한 게 아니라 실제 고급스러운 탐지 회피 기법들을 여럿 차용하고 있기도 합니다. 파이어베이스와 같은 합법적인 서비스를 사용하고 있기도 하고, 진짜와 비슷한 피싱 웹사이트를 통해 배포되기도 하고요. 그러면서도 다양한 모니터링 활동을 통해 광범위한 정보를 빼돌리는, 성능 좋은 스파이웨어이기도 합니다.”
그래서?
이런 위협에 대응하려면 어떻게 해야 할까? 사이퍼마는 “멀웨어가 발전하는 만큼 방어력도 발전해야 한다”고 강조한다. “조직 구성원의 개개인도 향상되어야 하지만, 조직 전체의 보안 문화도 더 성숙해져야 합니다. 후속 대처를 하는 보안이 아니라 선제적으로 위협을 제거하는 보안을 하고, 기본 보안 실천 사항을 개인 위생처럼 여기는 문화가 정착해야 합니다. 의심스러운 소프트웨어나 콘텐츠를 홍보하는 링크는 절대 클릭하면 안 됩니다.”
그 외에도 조직의 상황에 잘 맞는 보안 소프트웨어를 찾아 설치하는 것도 중요하다고 사이퍼마는 설명을 이어간다. “보안에 투자한다고 했을 때 솔루션 등 기술적 투자에만 집중하는 기업이 있는가 하면, 교육에만 치중하는 기업도 있습니다. 보안 전문가가 교육을 강조하면 기술을 간과하고, 기술을 강조하면 교육을 간과합니다. 둘을 균형 있게 가져가는 게 중요합니다. 최신 소프트웨어 기술의 힘도 빌리면서, 교육의 효과까지도 기대하는 게 안전합니다.”
파이어스캠의 상세한 기능은 물론 침투 과정과 드로퍼에 대한 기술적 분석 내용은 이번 주 목요일(1월 9일) 발행되는 프리미엄 리포트를 통해 열람이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 안드로이드 생태계에 새 고급 멀웨어 등장. 이름은 파이어스캠.
2. 파이어베이스를 활용하는 등 악성임을 숨기기 위한 노력이 처절한 멀웨어.
3. 은밀하면서도 있을 기능은 다 가지고 있는 최첨단 멀웨어이자 종합적 위협.
[보안뉴스 문가용 기자] 안드로이드 생태계에 새로운 위협이 등장했다. 꽤나 고차원적인 기능을 가진 정보 탈취형 멀웨어로, 텔레그램 프리미엄(Telegram Premium) 앱으로 위장한 채 퍼지고 있다. 이름은 파이어스캠(FireScam)이며, 보안 업체 사이퍼마(Cyfirma)가 처음 발견해 분석한 후 세상에 알렸다. 사이퍼마는 “파이어스캠을 흔한 안드로이드 멀웨어 중 하나로 치부해서는 안 되며, 강력한 보안 조치를 수립해 대비해야 한다”고 강조했다. 도대체 어떤 위협이기에 그런 것일까?
[이미지 = gettyimagesbank]
긴 분석 글을 읽을 시간이 없는 사람들을 위해 파이어스캠의 ‘위협적 특성’을 간단히 정리하자면 다음과 같다.
1) 정보 탈취 기능 : 피해자의 장비에서 정보를 빼돌리는, 일종의 스파이웨어다.
2) 피싱 웹사이트를 통해 배포 : 깃허브와 비슷한 이름을 가진 도메인인 GitHub,io에서부터 퍼지고 있다. ‘텔레그램 프리미엄’이라는 이름을 가진 APK 파일이다. 문제는 이 가짜 깃허브 사이트가 도메인은 깃허브를 흉내 내지만 사이트 자체는 러시아의 애플리케이션 스토어인 루스토어(RuStore)와 똑같이 생겼다는 것이다.
3) 드로퍼를 통한 감염 : 피싱 웹사이트에서 문제의 파일(텔레그램 프리미엄 APK)을 다운로드 해야만 감염되는 게 아니다. 피싱 웹사이트 드로퍼가 호스팅되어 있으며, 이 드로퍼를 통해서도 파이어스캠은 설치된다.
4) 파이어베이스(Firebase)를 통한 데이터 탈취 : 파이어스캠은 피해자의 장비로부터 각종 데이터를 훔쳐낸 뒤, 파이어베이스라는 데이터베이스 엔드포인트로 그 데이터들을 빼돌린다.
5) 피해자 장비 감시 : 위에 썼다시피 파이어스캠은 스파이웨어다. 피해자의 장비를 꼼꼼하게 모니터링하며, 이를 통해 각종 정보를 실시간으로 획득하기도 한다.
6) 알림 탐지 : 피해자 장비에서 나오는 다양한 알림들을 중간에서 가로챔으로서 민감한 정보를 탈취하기도 하고, 피해자의 활동에 대한 보다 깊이 있는 통찰을 얻어내기도 한다.
7) 탐지 기술 회피 : 파이어스캠은 악성 행위를 숨기고 분석과 추적을 보다 어렵게 만드는 기술을 탑재하고 있다.
8) 분석 환경 탐지 : 위 7)과도 연결되어 있는 특성인데, 가상 환경을 미리 탐지 및 확인하는 기능도 포함하고 있다.
9) 파이어베이스를 C&C로 활용 : 위에서 언급된 파이어베이스를 단순 데이터 유출 장소로만 활용하는 게 아니다. 이를 통해 각종 페이로드와 명령을 추가로 받을 수도 있다.
10) 파이어베이스 내 데이터 관리 : 파이어스캠의 배후 세력은 파이어베이스에 저장된 데이터를 검토하고 확인하여 가치 있는 것들만 남기고 나머지는 삭제한다. 즉 공격자가 분명한 의도를 가지고 이 캠페인을 실시하는 것으로 추정된다.
우선 숨고 보는 멀웨어
파이어스캠에서 가장 눈에 띄는 건 분석과 역공학을 어렵게 만들기 위해 많은 노력을 기울이고 있다느 것이다. 어떤 기법이나 전략이 활용되고 있을까? 사이퍼마는 분석을 통해 크게 네 가지를 발견할 수 있었다고 한다. 이는 다음과 같다.
1) 프로세스 이름 확인 : 파이어스캠은 런타임에 프로세스 이름을 식별하며, 이를 통해 애플리케이션이 샌드박스 환경에서 실행 중인지 실제 기기에서 실행 중인지를 확인한다.
2) 환경 분석 : 설치된 애플리케이션을 확인하고, 장비 모델, 제조사, 빌드 버전 등 주요 정보를 수집한다. 그리고 이 정보를 통해 가상 환경에서 실행되고 있는 건 아닌지 확인한다.
3) 악성 동작의 조건부 실행 : 샌드박스나 디버깅 환경이 탐지되면 악성 동작을 하지 않는다. 따라서 분석이나 추적이 어려워진다.
4) 환경에 따른 최적화 : 위에서 언급된 것처럼 장비를 세밀하게 프로파일링 하며, 그것을 바탕으로 피해자의 환경에 따라 행동을 조정하기도 한다. APT 조직들이 흔히 보여주는 기술이기도 하다. 스스로는 탐지되지 않은 상태로 피해자의 정보를 수집하는 데 유용하다.
침투에 성공한 파이어스캠은 본격적인 활동을 시작하는데, 그 활동의 가짓수가 상당하다. 요약하면 다음과 같다.
파이어스캠의 주요 기능
결국 파이어스캠이 가진 주요 기능을 요약하자면 다음과 같다.
1) 민감한 데이터 탈취 : 파이어베이스 리얼타임데이터베이스로 민감한 데이터를 탈취한다.
2) 알림 모니터링 : 다양한 앱의 알림을 관찰하고 내용을 캡쳐한다.
3) 피싱 페이지 사용 : 웹뷰(WebView)를 통해 가짜 텔레그램 로그인 페이지를 표시하여 사용자의 크리덴셜을 탈취한다.
4) USSD 응답 모니터링 : USSD 응답을 모니터링 하며, 계좌 잔액과 같은 데이터를 탈취한다.
5) 클립보드와 콘텐츠 모니터링 : 앱 간 공유된 클립보드 내용을 모니터링하여 민감한 정보를 빼간다.
6) 장치 상태 변경 감지 : 화면 꺼짐 및 켜짐을 감시한다.
7) 전자상거래 추적 : 거래 행위를 추적하고 금융 데이터를 빼돌린다.
8) 메시지 앱 감시 : 메시지 앱의 활동을 모니터링하고 캡쳐된 메시지를 탈취한다..
9) 화면 활동 추적 : 화면을 통해 피해자가 하는 일을 캡쳐한다.
10) 탐지 회피 : 난독화 기술을 써서 추적과 분석을 어렵게 만든다.
11) 푸시 알림 수신 : 파이어베이스 클라우드메시징 푸시 알림을 수신하여 원격 명령을 실행할 수 있게 된다.
“파이어스캠은 매우 정교한 멀웨어로, 텔레그램 프리미엄 앱으로 위장되어 있습니다. 위장술만 그럴듯한 게 아니라 실제 고급스러운 탐지 회피 기법들을 여럿 차용하고 있기도 합니다. 파이어베이스와 같은 합법적인 서비스를 사용하고 있기도 하고, 진짜와 비슷한 피싱 웹사이트를 통해 배포되기도 하고요. 그러면서도 다양한 모니터링 활동을 통해 광범위한 정보를 빼돌리는, 성능 좋은 스파이웨어이기도 합니다.”
그래서?
이런 위협에 대응하려면 어떻게 해야 할까? 사이퍼마는 “멀웨어가 발전하는 만큼 방어력도 발전해야 한다”고 강조한다. “조직 구성원의 개개인도 향상되어야 하지만, 조직 전체의 보안 문화도 더 성숙해져야 합니다. 후속 대처를 하는 보안이 아니라 선제적으로 위협을 제거하는 보안을 하고, 기본 보안 실천 사항을 개인 위생처럼 여기는 문화가 정착해야 합니다. 의심스러운 소프트웨어나 콘텐츠를 홍보하는 링크는 절대 클릭하면 안 됩니다.”
그 외에도 조직의 상황에 잘 맞는 보안 소프트웨어를 찾아 설치하는 것도 중요하다고 사이퍼마는 설명을 이어간다. “보안에 투자한다고 했을 때 솔루션 등 기술적 투자에만 집중하는 기업이 있는가 하면, 교육에만 치중하는 기업도 있습니다. 보안 전문가가 교육을 강조하면 기술을 간과하고, 기술을 강조하면 교육을 간과합니다. 둘을 균형 있게 가져가는 게 중요합니다. 최신 소프트웨어 기술의 힘도 빌리면서, 교육의 효과까지도 기대하는 게 안전합니다.”
파이어스캠의 상세한 기능은 물론 침투 과정과 드로퍼에 대한 기술적 분석 내용은 이번 주 목요일(1월 9일) 발행되는 프리미엄 리포트를 통해 열람이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
