.jpg)
.gif)
검열 차단을 무용지물로 만드는 앱 사이폰, 서드파티에서 구하면 위험
피해자가 대단히 많은 건 아니지만, 오히려 고도로 표적화된 공격일수도
[보안뉴스 문가용 기자] 사용자들이 검열 기관에 의해 차단된 웹사이트에 접속할 수 있도록 해주는 일반 애플리케이션 일부가 안드로이드 스파이웨어와 함께 유통되고 있다는 것이 드러났다. 스파이웨어와 함께 패키징 된 버전은 서드파티 앱 스토어에서 1년 동안 다운로드 가능한 상태로 유통되고 있었다.
[이미지 = iclickart]
문제가 되고 있는 앱의 이름은 사이폰(Psiphon)으로, 공식 구글 플레이 스토어에서 5천만 번 이상 다운로드 됐다. 사이폰은 서드파티 앱 스토어에서도 유통되고 있는데, 일부는 스파이웨어와 함께 되고 있어 문제가 되는 상황이다. 비공식 앱 스토어에서 사이폰을 다운로드 받았다면 사이폰 말고도 트리아웃(Triout)이라는 멀웨어에 감염되었을 가능성이 높다. 그리고 누군가에 의해 감시를 받고 있을 수도 있다.
지난 해 8월 보안 업체 비트디펜더(Bitdefender)는 트리아웃을 처음 발견하고, 이에 대한 내용을 세상에 공개한 바 있다. 당시 트리아웃은 성인용 콘텐츠와 관련된 앱과 패키징 되어 유포되고 있었다. 사이폰에 몰래 탑승한 트리아웃을 이번에 발견한 것도 역시 비트디펜더다. “지난 번에는 성인물에 관심 많은 사용자들을 노리더니, 이번에는 검열 기관이 차단한 콘텐츠에 관심 있는 사용자들을 노리고 있습니다.”
악성 패키지를 설치한 사용자들은 별다른 차이점을 느끼지 못한다. 수석 위협 분석가인 리비우 아르센(Liviu Arsene)은 “사이폰이 정상적으로 작동하는 것처럼 보이며, 대부분의 기능이 오리지널 버전과 동일하게 작동한다”고 설명한다. “하지만 사이폰의 뒤에서는 트리아웃이 작동합니다. 통화 내역을 기록하고, 전화기로 들어오는 문자 메시지를 로깅하며, 사진을 찍고, GPS 좌표값을 수집합니다.”
그런 후 트리아웃은 모은 정보를 공격자가 운영하는 C&C 서버로 전송한다. 비트디펜더가 C&C 서버의 IP 주소를 추적했을 때, 프랑스의 할인 전문 매장 웹사이트가 나왔다. magicdeal.fr이란 사이트로, 아직 이 사업체가 합법적인 곳인지 아닌지는 확인되지 않았다고 한다.
그 외에도 사이폰의 악성 버전에는 애드웨어도 세 가지나 더 들어 있었다는 게 드러났다. 공격자가 사이버 공격으로 인한 수익 마련에 상당히 투자하고 있는 모습이라고 비트디펜더는 설명했다. “악성 사이폰 앱이 발견된 건 10월 11일의 일입니다. 유포가 되고 실제적으로 활동한 기간은 2018년 5월 2일부터 12월 7일까지고요. 이 기간 동안 감염된 장비는, 비트디펜더가 찾아내기로는 7대에 불과했습니다. 당연히 이게 전부일 가능성은 낮습니다.”
그러나 피해자의 수가 적다고 해서 공격이 허무하게 끝났다고 결론을 내려서는 안 된다. 아르센은 “긴 공격 기간에 비해 피해자가 적다는 건, 그리고 스파이웨어인 트리아웃의 뛰어난 기능과 함께 생각했을 때, 고도로 표적화된 공격에서만 트리아웃이 활용된 것일 수도 있다”고 설명한다. “애초에 주요 인사 몇몇만을 노린 공격일 수도 있습니다.”
아르센은 “안드로이드 폰은 요즘 같은 시대에 세상 어디에나 존재하는 장치”라며, “따라서 완벽한 도청 장치 및 스파잉 도구로 활용할 수 있다”고 설명한다. “게다가 기능도 우수하죠. 따라서 앞으로도 안드로이드 환경을 노리는 사이버 공격은 끝없이 이어질 것입니다. 특히 구글 플레이마저 최근 자주 뚫리고 있어 앱 설치하기가 점점 더 조심스러워지는 때가 올 것이라고 봅니다.”
3줄 요약
1. 검열로 인해 차단된 웹사이트 접속케 해주는 인기 앱, 사이폰.
2. 비공식 앱스토어에서도 유통되는 사이폰. 하지만 트리아웃이라는 스파이웨어와 함께.
3. 안드로이드 장비는 세상 모든 곳에 존재하는, ‘잠재적 도청장치.’
[국제부 문가용 기자(globoan@boannews.com)]
피해자가 대단히 많은 건 아니지만, 오히려 고도로 표적화된 공격일수도
[보안뉴스 문가용 기자] 사용자들이 검열 기관에 의해 차단된 웹사이트에 접속할 수 있도록 해주는 일반 애플리케이션 일부가 안드로이드 스파이웨어와 함께 유통되고 있다는 것이 드러났다. 스파이웨어와 함께 패키징 된 버전은 서드파티 앱 스토어에서 1년 동안 다운로드 가능한 상태로 유통되고 있었다.
[이미지 = iclickart]
문제가 되고 있는 앱의 이름은 사이폰(Psiphon)으로, 공식 구글 플레이 스토어에서 5천만 번 이상 다운로드 됐다. 사이폰은 서드파티 앱 스토어에서도 유통되고 있는데, 일부는 스파이웨어와 함께 되고 있어 문제가 되는 상황이다. 비공식 앱 스토어에서 사이폰을 다운로드 받았다면 사이폰 말고도 트리아웃(Triout)이라는 멀웨어에 감염되었을 가능성이 높다. 그리고 누군가에 의해 감시를 받고 있을 수도 있다.
지난 해 8월 보안 업체 비트디펜더(Bitdefender)는 트리아웃을 처음 발견하고, 이에 대한 내용을 세상에 공개한 바 있다. 당시 트리아웃은 성인용 콘텐츠와 관련된 앱과 패키징 되어 유포되고 있었다. 사이폰에 몰래 탑승한 트리아웃을 이번에 발견한 것도 역시 비트디펜더다. “지난 번에는 성인물에 관심 많은 사용자들을 노리더니, 이번에는 검열 기관이 차단한 콘텐츠에 관심 있는 사용자들을 노리고 있습니다.”
악성 패키지를 설치한 사용자들은 별다른 차이점을 느끼지 못한다. 수석 위협 분석가인 리비우 아르센(Liviu Arsene)은 “사이폰이 정상적으로 작동하는 것처럼 보이며, 대부분의 기능이 오리지널 버전과 동일하게 작동한다”고 설명한다. “하지만 사이폰의 뒤에서는 트리아웃이 작동합니다. 통화 내역을 기록하고, 전화기로 들어오는 문자 메시지를 로깅하며, 사진을 찍고, GPS 좌표값을 수집합니다.”
그런 후 트리아웃은 모은 정보를 공격자가 운영하는 C&C 서버로 전송한다. 비트디펜더가 C&C 서버의 IP 주소를 추적했을 때, 프랑스의 할인 전문 매장 웹사이트가 나왔다. magicdeal.fr이란 사이트로, 아직 이 사업체가 합법적인 곳인지 아닌지는 확인되지 않았다고 한다.
그 외에도 사이폰의 악성 버전에는 애드웨어도 세 가지나 더 들어 있었다는 게 드러났다. 공격자가 사이버 공격으로 인한 수익 마련에 상당히 투자하고 있는 모습이라고 비트디펜더는 설명했다. “악성 사이폰 앱이 발견된 건 10월 11일의 일입니다. 유포가 되고 실제적으로 활동한 기간은 2018년 5월 2일부터 12월 7일까지고요. 이 기간 동안 감염된 장비는, 비트디펜더가 찾아내기로는 7대에 불과했습니다. 당연히 이게 전부일 가능성은 낮습니다.”
그러나 피해자의 수가 적다고 해서 공격이 허무하게 끝났다고 결론을 내려서는 안 된다. 아르센은 “긴 공격 기간에 비해 피해자가 적다는 건, 그리고 스파이웨어인 트리아웃의 뛰어난 기능과 함께 생각했을 때, 고도로 표적화된 공격에서만 트리아웃이 활용된 것일 수도 있다”고 설명한다. “애초에 주요 인사 몇몇만을 노린 공격일 수도 있습니다.”
아르센은 “안드로이드 폰은 요즘 같은 시대에 세상 어디에나 존재하는 장치”라며, “따라서 완벽한 도청 장치 및 스파잉 도구로 활용할 수 있다”고 설명한다. “게다가 기능도 우수하죠. 따라서 앞으로도 안드로이드 환경을 노리는 사이버 공격은 끝없이 이어질 것입니다. 특히 구글 플레이마저 최근 자주 뚫리고 있어 앱 설치하기가 점점 더 조심스러워지는 때가 올 것이라고 봅니다.”
3줄 요약
1. 검열로 인해 차단된 웹사이트 접속케 해주는 인기 앱, 사이폰.
2. 비공식 앱스토어에서도 유통되는 사이폰. 하지만 트리아웃이라는 스파이웨어와 함께.
3. 안드로이드 장비는 세상 모든 곳에 존재하는, ‘잠재적 도청장치.’
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)