윈도우, 맥에 이어 안드로이드에서도 발견된 독특한 봇넷
방어자는 발견 어렵고, 공격자는 도망 쉬워... 다른 SNS들도 조심

[보안뉴스 문가용] 굉장히 새로운 방법으로 명령을 받는 안드로이드 백도어가 발견되었다. 보안 전문업체인 ESET이 분석한 바에 따르면 안드로이드/트위투어(Android/Twitoor)라는 이 멀웨어는 트위터 계정을 C&C 서버 삼아 운영된다고 한다.



안드로이드/트위투어는 감염된 기기에 다른 악성 앱들을 다운로드 받는 기능을 가지고 있으며 약 한 달 전에 처음 안드로에드 생태계에 등장했다. 다행히 공식 안드로이드 샵은 뚫지 못한 것으로 보여 확산 속도가 빠르진 않다.

ESET의 연구원들에 의하면 이 백도어는 MMS 관련 프로그램 혹은 성인 동영상 재생 애플리케이션처럼 보인다고 한다. 다만 기능 설명이 하나도 없어서 조금만 의심해도 수상한 점이 쉽게 눈에 보이긴 한다. 설치가 되면 ‘악성 기능’ 자체는 백그라운드에 숨어서 모습을 감추고, C&C 서버로 활용되는 트위터 계정과 일정하게 접속을 시도한다.

트위터 계정으로부터 어떤 명령을 받는지에 따라 달라지긴 하지만 이 백도어는 추가적으로 악성 앱을 다운로드 받거나 또 다른 C&C 트위터 계정과 연결을 시도한다. “기존의 C&C 서버가 아니라 트위터 계정을 활용한다는 건 꽤나 이채로운 일입니다.” ESET의 멀웨어 전문가인 루카스 스테판코(Lukas Stefanko)의 설명이다.

트위터를 C&C 서버로 활용했을 때의 장점은 무엇일까? “발견이 어렵다는 것이죠. 게다가 방어 자체도 어려워요. 들킨다 해도 통신 채널을 바꾸는 것도 쉽고요. 새 계정을 파면 되니까요. 굉장히 머리를 잘 쓴 방법입니다.” 게다가 이 멀웨어 운영자들은 통신 메시지를 암호화하기도 했다.

블로그나 클라우드 메시지 시스템을 활용한 예는 이전에도 있었지만 트위터에 근간을 둔 안드로이드용 봇 멀웨어는 안드로이드/트위투어가 최초다. 매우 유사한 사례가 지난 2009년 윈도우에서 발견된 바 있고, 2012년에는 맥 환경에서도 이런 시도가 발각되었다.

다른 인기 SNS인 페이스북과 링크드인의 경우도 비슷한 공격 사례에 대해 예의 주시하고 있다. SNS 사용자라면 링크를 클릭하기 전에 반드시 한 번쯤 주소를 읽어보면서 수상한 점이 없나 검토하고, OS나 앱을 항상 최신화시키는 편이 안전하다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>