맥아피, “한국 성경 앱 통해 악성 백도어 배포되고 있어”
현재는 한국 안드로이드 사용자만 노려...곧 퍼져나갈 수도
[보안뉴스 문가용 기자] 북한의 해킹 팀이라고 알려진 라자루스 그룹(Lazarus Group)의 진화 소식이 세계 보안 커뮤니티로 빠르게 퍼지고 있다. 보안 업체 맥아피(McAfee)에 따르면 고도의 표적형 공격을 일삼던 이 무법의 해킹 단체가 최근 들어 모바일 환경으로 눈길을 돌렸다고 한다. 공격 대상의 범위가 사뭇 넓어질 것으로 맥아피는 예상했다.
[이미지 = iclickart]
맥아피의 분석가들은 최근 합법적인 안드로이드 애플리케이션을 위장한 앱들을 분석하다가 라자루스 그룹의 ‘향기’를 느꼈다고 한다. 갓피플(GodPeople)이라는 개발자가 만든 성경 앱으로, 겉모습은 매우 그럴듯했다. 심지어 공식 구글 플레이 스토어에도 입점했고, 성경을 한글로 번역해주는 기능을 가졌다는 설명이 붙어 있었다. 맥아피는 이를 통해 “대한민국의 스마트폰 및 태블릿 사용자들을 노리고 있다”고 분석했다.
“사용자가 이 성경 앱을 다운로드 받아 설치할 경우 사실은 백도어가 기기에 깔립니다. 모바일 기기가 통째로 원격 통제용 봇이 되어버리는 것이죠.” 이 백도어는 ELF 파일로, 이전 라자루스 그룹이 감행했던 공격들에서 발견된 멀웨어와 유사하다. “당연히 C&C 서버 인프라도 비슷하고, 멀웨어 배포 전략도 비슷합니다.”
하지만 맥아피의 연구원들이 이 악성 앱을 구글 플레이에 출시되어 있는 상태로 발견한 건 아니다. 그래서 이 백도어가 정확히 어떤 방식으로 퍼지고 있는지는 알 수가 없다고 말한다. 라자루스 그룹이 모바일 환경을 노리고 공격을 실시한 것도 이번이 처음인지 아닌지 확실하지 않다. “하지만 그 동안 PC 환경을 노려왔던 라자루스 그룹의 멀웨어와 이번에 발견된 멀웨어가 굉장히 유사합니다. 처음이든 아니든, 모바일 환경에까지 공격의 마수를 펼쳐 오리라는 건 자명합니다.”
라자루스 그룹이 모바일 공격자로 진화하고 있다는 건 매우 중요한 사실이라고 맥아피는 강조한다. “모바일 사용자가 점점 늘어나고 있기 때문이죠. 통계 업체인 스타티스타(Statista)에 의하면 올해 말까지 대한민국의 모바일 사용자는 4천만 명에 달할 것이라고 합니다. 그리고 이 중 79%가 안드로이드 사용자고요.”
하지만 아직 멀웨어의 배포율 자체가 높은 건 아니라고 한다. 여기서 또 다른 가능성이 나온다. “어쩌면 갓피플만을 노린 공격일 수도 있습니다. 갓피플은 북한에 종교적 지원을 해온 단체라 북한 정부로서는 눈엣가시 같은 존재거든요. 갓피플을 공격했기 때문에 그들의 앱이 감염된 것이라고도 볼 수 있습니다.”
맥아피의 수석 과학자인 라지 사마니(Raj Samani)는 “갓피플은 북한의 지하교회와 정부의 종교 탄압 실상을 영상 자료 등으로 만들어 세상에 알려온 단체”라며 “한국인터넷진흥원에 따르면 북한 해커들이 남한의 종교 단체들을 종종 공격해왔다고 한다”고 설명한다.
라자루스 그룹은 2014년 소니 엔터테인먼트 해킹 공격과 2016년의 SWIFT 네트워크 공격을 했다고 여겨지는 공격 단체다. 사마니는 “지금은 대한민국의 모바일 환경만 노리는 것처럼 보이지만 언제고 다른 나라에서 비슷한 공격을 감행할 능력이 있는 자들”이라고 경고한다. “공격자들 입장에서는 C&C 서버와 위장 앱을 바꾼 상태로 핵심 백도어를 똑같이 사용하면 됩니다. 공격자들로서는 간단한 일입니다.”
현재까지 밝혀진 바 이 안드로이드용 백도어의 C&C 서버는 미국, 인도, 한국, 아르헨티나, 나이지리아에 위치해 있다. 설치가 완료되고 서버와의 통신망이 구축되면 기기의 정보를 모아 C&C로 전송하며, 거꾸로 서버로부터 명령을 전송받아 실행하기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]
현재는 한국 안드로이드 사용자만 노려...곧 퍼져나갈 수도
[보안뉴스 문가용 기자] 북한의 해킹 팀이라고 알려진 라자루스 그룹(Lazarus Group)의 진화 소식이 세계 보안 커뮤니티로 빠르게 퍼지고 있다. 보안 업체 맥아피(McAfee)에 따르면 고도의 표적형 공격을 일삼던 이 무법의 해킹 단체가 최근 들어 모바일 환경으로 눈길을 돌렸다고 한다. 공격 대상의 범위가 사뭇 넓어질 것으로 맥아피는 예상했다.
[이미지 = iclickart]
맥아피의 분석가들은 최근 합법적인 안드로이드 애플리케이션을 위장한 앱들을 분석하다가 라자루스 그룹의 ‘향기’를 느꼈다고 한다. 갓피플(GodPeople)이라는 개발자가 만든 성경 앱으로, 겉모습은 매우 그럴듯했다. 심지어 공식 구글 플레이 스토어에도 입점했고, 성경을 한글로 번역해주는 기능을 가졌다는 설명이 붙어 있었다. 맥아피는 이를 통해 “대한민국의 스마트폰 및 태블릿 사용자들을 노리고 있다”고 분석했다.
“사용자가 이 성경 앱을 다운로드 받아 설치할 경우 사실은 백도어가 기기에 깔립니다. 모바일 기기가 통째로 원격 통제용 봇이 되어버리는 것이죠.” 이 백도어는 ELF 파일로, 이전 라자루스 그룹이 감행했던 공격들에서 발견된 멀웨어와 유사하다. “당연히 C&C 서버 인프라도 비슷하고, 멀웨어 배포 전략도 비슷합니다.”
하지만 맥아피의 연구원들이 이 악성 앱을 구글 플레이에 출시되어 있는 상태로 발견한 건 아니다. 그래서 이 백도어가 정확히 어떤 방식으로 퍼지고 있는지는 알 수가 없다고 말한다. 라자루스 그룹이 모바일 환경을 노리고 공격을 실시한 것도 이번이 처음인지 아닌지 확실하지 않다. “하지만 그 동안 PC 환경을 노려왔던 라자루스 그룹의 멀웨어와 이번에 발견된 멀웨어가 굉장히 유사합니다. 처음이든 아니든, 모바일 환경에까지 공격의 마수를 펼쳐 오리라는 건 자명합니다.”
라자루스 그룹이 모바일 공격자로 진화하고 있다는 건 매우 중요한 사실이라고 맥아피는 강조한다. “모바일 사용자가 점점 늘어나고 있기 때문이죠. 통계 업체인 스타티스타(Statista)에 의하면 올해 말까지 대한민국의 모바일 사용자는 4천만 명에 달할 것이라고 합니다. 그리고 이 중 79%가 안드로이드 사용자고요.”
하지만 아직 멀웨어의 배포율 자체가 높은 건 아니라고 한다. 여기서 또 다른 가능성이 나온다. “어쩌면 갓피플만을 노린 공격일 수도 있습니다. 갓피플은 북한에 종교적 지원을 해온 단체라 북한 정부로서는 눈엣가시 같은 존재거든요. 갓피플을 공격했기 때문에 그들의 앱이 감염된 것이라고도 볼 수 있습니다.”
맥아피의 수석 과학자인 라지 사마니(Raj Samani)는 “갓피플은 북한의 지하교회와 정부의 종교 탄압 실상을 영상 자료 등으로 만들어 세상에 알려온 단체”라며 “한국인터넷진흥원에 따르면 북한 해커들이 남한의 종교 단체들을 종종 공격해왔다고 한다”고 설명한다.
라자루스 그룹은 2014년 소니 엔터테인먼트 해킹 공격과 2016년의 SWIFT 네트워크 공격을 했다고 여겨지는 공격 단체다. 사마니는 “지금은 대한민국의 모바일 환경만 노리는 것처럼 보이지만 언제고 다른 나라에서 비슷한 공격을 감행할 능력이 있는 자들”이라고 경고한다. “공격자들 입장에서는 C&C 서버와 위장 앱을 바꾼 상태로 핵심 백도어를 똑같이 사용하면 됩니다. 공격자들로서는 간단한 일입니다.”
현재까지 밝혀진 바 이 안드로이드용 백도어의 C&C 서버는 미국, 인도, 한국, 아르헨티나, 나이지리아에 위치해 있다. 설치가 완료되고 서버와의 통신망이 구축되면 기기의 정보를 모아 C&C로 전송하며, 거꾸로 서버로부터 명령을 전송받아 실행하기도 한다.
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
_TH.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
