모바일에 올라탄 뒤, 그 모바일 기기에 설치된 온라인 뱅킹 앱들을 조작하여 피해자의 돈을 다른 곳으로 몰래 송금하는 멀웨어가 있다. 이 멀웨어는 스토어들도 능수능란하게 뚫어낸다. 앱 설치가 더욱 조심스러워지는 때다.
[보안뉴스 문가용 기자] 지난 10월 처음 모습을 드러낸 안드로이드 뱅킹 트로이목마 샤크봇(SharkBot)이 구글 플레이 스토어에서 삭제됐다. 샤크봇은 ‘차세대 멀웨어’라고 불리는 고급 멀웨어로, 안드로이드 장비 사용자가 뱅킹 앱에 로그인 되어 있을 때 은행 계좌로부터 돈을 은밀히 빼돌리는 기능을 가지고 있다. 그 외에 크리덴셜과 신용카드 데이터를 훔치는 등의 다른 악성 기능도 가지고 있는 것으로 분석됐다.
[이미지 = utoimage]
보안 업체 체크포인트(Check Point)는 지난 달 구글 플레이 스토어에서 샤크봇을 유포하고 있지만 정상적인 것처럼 위장되어 있는 앱을 최소 6개 발견했다고 한다. 이 여섯 개의 앱은 세 개의 개발자 계정을 통해 스토어에 업로드 되어 있었으며, 비교적 짧은 시간 동안 1만 5천 번 이상 다운로드 됐다고 한다. 네 개의 앱은 체크포인트가 2월 23일에 발견해 3월 3일에 구글 측에 알렸다. 같은 날 또 다른 보안 업체 NCC그룹(NCC Group)이 같은 내용을 구글에 알렸다. 구글은 1주일 뒤에 해당 앱들을 삭제했다.
그리고 1주일이 채 지나지 않은 시점과 1주일이 막 넘은 시점에 체크포인트는 두 개의 샤크봇 앱을 구글 플레이에서 추가로 발견했다. 앞서 4개가 먼저 발견되고 삭제되어서인지, 이번에 구글은 보다 빠르게 대처했고, 재빨리 문제가 되는 앱들을 지웠다. 구글 측은 샤크봇으로 추정되는 다른 앱들도 전부 삭제했다고 발표했다.
체크포인트는 자사 블로그를 통해 샤크봇 개발자들이 어떻게 구글 플레이의 점검 및 보호 장치를 몇 번씩이나 피해갈 수 있었던 이유를 설명했다. “샤크봇은 다양한 분석 방해 기능을 가지고 있습니다. 시간을 지연시켜서 악성 기능을 발동시키기도 하고, 샌드박스 환경을 탐지할 수도 있습니다. 그리고 무엇보다 본격적인 악성 기능은 외부의 C&C 서버로부터 추가로 다운로드를 받습니다. 플레이 스토어의 점검 과정을 거칠 때는 심어두지 않는 기능들이죠.”
게다가 도메인 생성 알고리즘(DGA) 기능도 보유하고 있기 때문에 C&C 도메인을 항상 변경할 수 있으며, 이 때문에 악성 기능의 탐지는 더더욱 어려워진다고 한다. 여기에 더해 지오펜스 기능도 가지고 있다. 즉 특정 지역에서는 악성 기능이 발동되지 않도록 설정되어 있다는 뜻이다. 이 특정 지역은 중국, 러시아, 우크라이나, 인도, 벨라루스, 루마니아다.
체크포인트의 연구원인 알렉산더 차일리트코(Alexander Chailytko)는 “DGA 기능이 있으면 악성 클라이언트가 별도의 통신 없이 서버를 바꿀 수 있게 된다”며 “샤크봇의 경우 1주일에 도메인을 35개씩 생성하고, 이 때문에 멀웨어 탐지와 차단 과정이 매우 복잡해질 수밖에 없다”고 설명한다. 또한 “모든 악성 기능들이 C&C 서버와의 통신 이후에 이뤄진다”며 “따라서 별도의 명령이 없으면 악성이 아닌 채로 피해자의 시스템에 가만히 머무를 수 있게 된다”고도 밝혔다.
고급 기능
샤크봇을 제일 먼저 발견한 보안 업체 클리파이(Cleafy)와 지난 달 구글에 별도로 샤크봇에 대해 알린 NCC그룹은 샤크봇에 ‘자동 전송 시스템(ATS)’이 있음을 밝히기도 했다. ATS 기능은, 샤크봇에 감염된 안드로이드 장비의 주인이 사용하는 은행 계좌들로부터 송금을 실시하는 것으로, 모바일 뱅킹으로 송금을 할 때 은행이 요구하는 정보를 양식에 맞게 자동으로 채움으로써 가능하게 된다. 피해자가 은행 계좌에 로그인할 때 정보를 미리 확보해 두는 것으로 보인다. 이런 방식의 자금 탈취는 탐지가 힘들다고 한다. 이미 사용자가 모바일 뱅킹을 자주 해 왔던 장비들로부터 이뤄지는 일이기 때문이다.
보안 업체 케르베르 센티넬(Cerberus Sentinel)의 부회장 크리스 클레멘츠(Chris Clements)는 “악성 앱에 시간 지연 기능, 코드 난독화 기능, 지오펜스 기능이 탑재되어 있을 경우 탐지가 대단히 힘든 것이 보통이다”라고 설명한다. 특히 대량의 앱을 매일 검사하고 확인해야 하는 공식 앱 스토어들로서는 이 세 가지를 모두 간파하기가 힘들다고 한다.
“그래서 구글과 애플의 공식 스토어에 이런 앱들이 간간히 등장하는 것이고, 그럴 때마다 해당 스토어들은 사용자의 신뢰를 크게 잃습니다. 두 기업 모두 자신들의 스토어가 얼마나 안전한지를 매번 자랑하니까 더 그렇습니다. 이미 악성 앱을 등록시키는 방법들은 충분히 연구가 됐고, 더 이상 공식 스토어들은 안전하다고 말하기 힘든 상태입니다. 앱이 유통되는 공식 스토어들을 뚫는 방법이 존재하는 한 사용자들의 디지털 삶은 위험해 처할 수밖에 없습니다.”
클레멘츠는 “스토어를 마냥 신뢰하는 건 위험하다”며 “소비자 개개인이 앱을 다운로드 받을 때마다 리뷰와 다운로드 수, 개발자 정보를 꼼꼼하게 확인하는 것이 중요하다”고 말한다. 또한 “접근성 서비스”에 대한 권한을 요청하는 앱은 장애우들을 위한 특수한 경우가 아니라면 일단 의심하고 보는 게 좋다고도 클레멘츠는 경고했다.
3줄 요약
1. 구글 플레이 스토어를 연속적으로 뚫어내고 있는 샤크봇 멀웨어.
2. 뱅킹 트로이목마로, 각종 분석 및 탐지 방해 기능을 탑재하고 있음.
3. 공식 앱 스토어들을 뚫는 게 점점 쉬워지는 상황에서 개개인의 디지털 삶이 위험해지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 지난 10월 처음 모습을 드러낸 안드로이드 뱅킹 트로이목마 샤크봇(SharkBot)이 구글 플레이 스토어에서 삭제됐다. 샤크봇은 ‘차세대 멀웨어’라고 불리는 고급 멀웨어로, 안드로이드 장비 사용자가 뱅킹 앱에 로그인 되어 있을 때 은행 계좌로부터 돈을 은밀히 빼돌리는 기능을 가지고 있다. 그 외에 크리덴셜과 신용카드 데이터를 훔치는 등의 다른 악성 기능도 가지고 있는 것으로 분석됐다.
[이미지 = utoimage]
보안 업체 체크포인트(Check Point)는 지난 달 구글 플레이 스토어에서 샤크봇을 유포하고 있지만 정상적인 것처럼 위장되어 있는 앱을 최소 6개 발견했다고 한다. 이 여섯 개의 앱은 세 개의 개발자 계정을 통해 스토어에 업로드 되어 있었으며, 비교적 짧은 시간 동안 1만 5천 번 이상 다운로드 됐다고 한다. 네 개의 앱은 체크포인트가 2월 23일에 발견해 3월 3일에 구글 측에 알렸다. 같은 날 또 다른 보안 업체 NCC그룹(NCC Group)이 같은 내용을 구글에 알렸다. 구글은 1주일 뒤에 해당 앱들을 삭제했다.
그리고 1주일이 채 지나지 않은 시점과 1주일이 막 넘은 시점에 체크포인트는 두 개의 샤크봇 앱을 구글 플레이에서 추가로 발견했다. 앞서 4개가 먼저 발견되고 삭제되어서인지, 이번에 구글은 보다 빠르게 대처했고, 재빨리 문제가 되는 앱들을 지웠다. 구글 측은 샤크봇으로 추정되는 다른 앱들도 전부 삭제했다고 발표했다.
체크포인트는 자사 블로그를 통해 샤크봇 개발자들이 어떻게 구글 플레이의 점검 및 보호 장치를 몇 번씩이나 피해갈 수 있었던 이유를 설명했다. “샤크봇은 다양한 분석 방해 기능을 가지고 있습니다. 시간을 지연시켜서 악성 기능을 발동시키기도 하고, 샌드박스 환경을 탐지할 수도 있습니다. 그리고 무엇보다 본격적인 악성 기능은 외부의 C&C 서버로부터 추가로 다운로드를 받습니다. 플레이 스토어의 점검 과정을 거칠 때는 심어두지 않는 기능들이죠.”
게다가 도메인 생성 알고리즘(DGA) 기능도 보유하고 있기 때문에 C&C 도메인을 항상 변경할 수 있으며, 이 때문에 악성 기능의 탐지는 더더욱 어려워진다고 한다. 여기에 더해 지오펜스 기능도 가지고 있다. 즉 특정 지역에서는 악성 기능이 발동되지 않도록 설정되어 있다는 뜻이다. 이 특정 지역은 중국, 러시아, 우크라이나, 인도, 벨라루스, 루마니아다.
체크포인트의 연구원인 알렉산더 차일리트코(Alexander Chailytko)는 “DGA 기능이 있으면 악성 클라이언트가 별도의 통신 없이 서버를 바꿀 수 있게 된다”며 “샤크봇의 경우 1주일에 도메인을 35개씩 생성하고, 이 때문에 멀웨어 탐지와 차단 과정이 매우 복잡해질 수밖에 없다”고 설명한다. 또한 “모든 악성 기능들이 C&C 서버와의 통신 이후에 이뤄진다”며 “따라서 별도의 명령이 없으면 악성이 아닌 채로 피해자의 시스템에 가만히 머무를 수 있게 된다”고도 밝혔다.
고급 기능
샤크봇을 제일 먼저 발견한 보안 업체 클리파이(Cleafy)와 지난 달 구글에 별도로 샤크봇에 대해 알린 NCC그룹은 샤크봇에 ‘자동 전송 시스템(ATS)’이 있음을 밝히기도 했다. ATS 기능은, 샤크봇에 감염된 안드로이드 장비의 주인이 사용하는 은행 계좌들로부터 송금을 실시하는 것으로, 모바일 뱅킹으로 송금을 할 때 은행이 요구하는 정보를 양식에 맞게 자동으로 채움으로써 가능하게 된다. 피해자가 은행 계좌에 로그인할 때 정보를 미리 확보해 두는 것으로 보인다. 이런 방식의 자금 탈취는 탐지가 힘들다고 한다. 이미 사용자가 모바일 뱅킹을 자주 해 왔던 장비들로부터 이뤄지는 일이기 때문이다.
보안 업체 케르베르 센티넬(Cerberus Sentinel)의 부회장 크리스 클레멘츠(Chris Clements)는 “악성 앱에 시간 지연 기능, 코드 난독화 기능, 지오펜스 기능이 탑재되어 있을 경우 탐지가 대단히 힘든 것이 보통이다”라고 설명한다. 특히 대량의 앱을 매일 검사하고 확인해야 하는 공식 앱 스토어들로서는 이 세 가지를 모두 간파하기가 힘들다고 한다.
“그래서 구글과 애플의 공식 스토어에 이런 앱들이 간간히 등장하는 것이고, 그럴 때마다 해당 스토어들은 사용자의 신뢰를 크게 잃습니다. 두 기업 모두 자신들의 스토어가 얼마나 안전한지를 매번 자랑하니까 더 그렇습니다. 이미 악성 앱을 등록시키는 방법들은 충분히 연구가 됐고, 더 이상 공식 스토어들은 안전하다고 말하기 힘든 상태입니다. 앱이 유통되는 공식 스토어들을 뚫는 방법이 존재하는 한 사용자들의 디지털 삶은 위험해 처할 수밖에 없습니다.”
클레멘츠는 “스토어를 마냥 신뢰하는 건 위험하다”며 “소비자 개개인이 앱을 다운로드 받을 때마다 리뷰와 다운로드 수, 개발자 정보를 꼼꼼하게 확인하는 것이 중요하다”고 말한다. 또한 “접근성 서비스”에 대한 권한을 요청하는 앱은 장애우들을 위한 특수한 경우가 아니라면 일단 의심하고 보는 게 좋다고도 클레멘츠는 경고했다.
3줄 요약
1. 구글 플레이 스토어를 연속적으로 뚫어내고 있는 샤크봇 멀웨어.
2. 뱅킹 트로이목마로, 각종 분석 및 탐지 방해 기능을 탑재하고 있음.
3. 공식 앱 스토어들을 뚫는 게 점점 쉬워지는 상황에서 개개인의 디지털 삶이 위험해지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
