• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

체리블로스 멀웨어, OCR 기술까지 동원해 피해자 크리덴셜 훔쳐 2023.08.01

구글 생태계에 새로운 멀웨어 두 개가 등장했다. 배후 세력은 동일한 것으로 보인다. 앱 자체에는 꽤나 신기한 기술이 탑재되어 있는데, 얼마나 효과적일 지는 아직 확실히 알 수 없다.

[보안뉴스 문정후 기자] 이번 주 두 개의 멀웨어 캠페인이 발견됐는데, 두 캠페인은 서로 관련이 있는 것으로 보인다. 사용되는 멀웨어는 체리블로스(CheerryBlos)와 페이크트레이드(FakeTrade)이다. 둘 다 구글 플레이나 소셜미디어, 각종 피싱 사이트를 통해 유포되고 있는 것으로 밝혀졌다.

[이미지 = gettyimagesbank]


보안 업체 트렌드마이크로(Trend Micro)에 의하면 이 두 멀웨어가 같은 공격 인프라를 활용하고 있었으며, 여러 탐지 기술을 속이기 위해 마련된 애플리케이션 인증서들 역시 같은 것이 사용됐다고 한다. 두 캠페인을 같은 조직이 진행하고 있다는 뜻이 된다고 트렌드마이크로는 설명한다.

이 중 체리블로스 멀웨어에서는 그 동안 다른 멀웨어에서는 잘 보이지 않던 기능이 추가돼 눈길을 끌고 있다. OCR 기술을 활용해 민감한 정보를 피해자 장비에서 추출하는 것이다. OCR은 광학식 문자 인식(optical character recognition)의 준말로, 기계가 이미지에서 글자나 특정 형상을 알아보게 해 주는 것을 말한다. 체리블로스는 피해자 장비에 저장된 이미지를 검색하며 비밀번호나 비밀번호의 힌트가 될 만한 것들을 OCR로 찾아내며, 이를 C&C 서버로 전송한다.

이번 공격은 광범위하게 살포하는 방식으로 진행되는 것처럼 보이기도 한다. 트렌드마이크로는 “샘플들에 등장하는 여러 가지 흔적과 언어들을 살펴보건데 공격자들이 특정 인물이나 단체, 지역을 공략하려 한 것은 아닌 듯하다”며 “오히려 여러 지역의 구글 플레이에 자신들의 멀웨어를 업로드시키려는 시도가 있었다”고 밝혔다. “말레이시아, 베트남, 필리핀, 인도네시아, 우간다, 멕시코 등의 플레이 스토어에서 이런 흔적들이 발견됐습니다.”

체리블로스 캠페인
먼저 체리블로스 멀웨어는 암호화폐 지갑과 관련되어 있는 크리덴셜을 훔치도록 설계가 된 멀웨어다. 또한 피해자가 암호화폐 거래를 하려고 하면 재빨리 자신의 지갑 주소와 피해자의 지갑 주소를 바꾸기도 한다. 공격자들은 텔레그램, 틱톡, 엑스(트위터의 후신)를 활용해 자신들의 악성 앱을 광고하고 있다고 하며, 현재까지 체리블로스를 내포하고 있는 악성 앱은 GPTalk, Happy Miner, Robot99, SynthNet인 것으로 분석됐다.

체리블로스는 비슷한 유형의 다른 안드로이드 멀웨어와 마찬가지로 설치 시 여러 가지 접근 권한을 피해자에게 요청하는 것으로 알려져 있다. 피해자가 앱을 실행시킬 때도 원활한 사용을 위해서 여러 가지 접근 권한을 허용해야 한다는 팝업 창이 뜬다. 사용자로서는 어느 순간 허용할 수밖에 없게 되는 구조다.
체리블로스는 설치가 완료되고 나면 C&C 서버로부터 두 개의 환경설정 파일을 받는다. 그 외에도 공격을 지속시키고 멀웨어 탐지 기술을 회피하기 위해 여러 가지 방법을 동원하기도 한다.

페이크트레이드 캠페인
페이크트레이드 캠페인도 체리블로스와 큰 틀에서는 비슷하다. 공격자들은 페이크트레이드를 퍼트리기 위해 31개의 안드로이드 앱을 활용했다. 주로 온라인 쇼핑과 관련된 앱들이나 앱 설치만으로 소액의 돈을 벌 수 있다며 피해자들을 속이는 앱들이다. 후자의 경우 앱 계정에 돈이 쌓이긴 하는데 피해자가 인출할 수가 없게 되어 있다.

페이크트레이드가 위장하는 데 사용한 앱들은 2021년에는 구글 플레이를 통해 쉽게 구할 수 있었다. 2022년 3사분기 때까지도 그랬다. 하지만 그 후 구글이 해당 앱들을 전부 삭제하면서 지금은 페이크트레이드를 찾기 힘들다고 트렌드마이크로는 설명한다.

“그럼에도 아직 경계심을 놓아서는 안 됩니다. 페이크트레이드와 체리블로스 운영자들은 포기하지 않았거든요. 이들은 계속해서 자신들의 멀웨어를 퍼트리려고 여러 가지 전략들을 구사하고 있습니다. 소프트웨어 안에 패킹한다거나, 각종 난독화 기술로 탐지 기술을 우회한다거나, 안드로이드의 접근성 옵션을 조작하는 식으로 말이죠. 안드로이드 사용자들의 특별한 주의가 요구되고 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>