디도스 공격기능 탑재로 우려 커져...스마트폰 보안수칙 준수해야

[보안뉴스 김태형] 최근 디도스 공격 기능을 탑재한 안드로이드 악성 앱이 증가하고 있어 이용자들의 주의가 요구되고 있다.

잉카인터넷 대응팀은 구글코리아의 신규 검색엔진 서비스 내용을 사칭한 안드로이드 악성앱 변형 2종을 긴급 입수했다고 밝혔다.

이 악성앱은 2012년 12월 12일 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안 앱을 사칭한 안드로이드 악성 앱의 변종으로 파악된다. 해당 안드로이드 악성 앱들은 국내 이용자들을 정조준해서 제작됐다는 점에서 심각한 보안위협이 우려되고 있는 상황이다.  

잉카인터넷 대응팀 문종현 팀장은 “이러한 악성 안드로이드 앱은 한글문구와 함께 구글 단축URL 서비스를 통해서 불특정 다수에게 배포된 것으로 추정된다. 공격 방식은 국내 이용자들을 직접적으로 겨냥해서 배포했다는 점에서 매우 의도적인 공격형태로 분류할 수 있다”고 설명했다.

다음은 국내 스마트폰 이용자들에게 배포된 실제 악성 안드로이드 앱 설치 유도 문자메시지 내용이다. 마치 구글코리아에서 배포한 신규 앱처럼 위장하고 있다. 해당 안드로이드 악성파일들에 대한 자세한 정보는 한국인터넷진흥원에 신속하게 공유된 것으로 알려졌다.

이번 악성 앱은 지난해 새로운 변종이 추가 발견된 이후, 올해 1월 14일 새로운 변종이 추가 발견된 데 이어 23일 새로운 변종이 추가 발견된 것이다. 이번에는 ‘구글 코리아 안드로이드 전용 모바일 보안 업데이트’라는 내용으로 위장했다.

단축 URL 주소는 2가지 형태가 보고됐으며, 나머지 단축 URL 주소도 실제 다운로드 시도되는 appv3.8.apk는 동일하다.

이번에 유포된 악성파일은 ‘Google Mobile’이라는 이름으로 설치가 진행되며 설치 후에는 안랩 V3 Mobile PLUS 2.0 제품처럼 위장하고 있는 게 잉카인터넷 대응팀 측의 설명이다. 해당 구글 단축URL 서비스를 클릭하게 되면 해외의 특정 웹 사이트로 연결되고 악성 안드로이드 앱이 설치되고 있으며, 해당 내용은 2012년 12월 10일부터 구글코리아 트위터를 통해서도 주의 당부가 이루어지고 있는 상황이다.  

이번 악성 앱과 관련해 잉카인터넷 대응팀 문종현 팀장은 “전체적으로 보면 SMS 감시와 무단적인 SMS 발송은 기존 악성 애플리케이션과 차별성이 없으나 해당 악성 애플리케이션의 경우 무엇보다 디도스 기능 수행, 이를 위한 봇기능 등이 주목할 만하다고 할 수 있다”고 설명했다.

일단, 해당 악성 애플리케이션은 디도스 기능 수행을 위해 특정 명령 문자가 포함된 SMS에 대한 감시 및 수신이 필요한데, 모든 SMS의 수신 시 시간에 대한 계산 등 연산을 통해 해당 악성 기능 동작(SMS 수집)에 대한 여부를 결정하게 된다는 것.

조건이 모두 충족되면, 악성 애플리케이션은 조건에 해당하는 SMS를 모두 수집하는 등의 악성 동작을 수행하며, 아래와 같이 특정 명령 문자로 SMS가 시작되는 경우 그에 따른 추가적인 악성 동작을 수행하게 된다.

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송

- #b : 시간 확인 및 변수 할당

- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행

- #e : 스레드 실행 여부 확인 및 지연

- #t : 감염된 스마트폰의 전화번호 확인

무엇보다 우려되는 상황은 특정 사이트 공격을 시도하는 디도스 기능의 수행이라고 할 수 있다. 더욱이 해당 기능은 아직까지 모바일 상에서 실제 구체적인 사례나 악성 애플리케이션을 찾아보기 어려웠다는 게 잉카인터넷 대응팀의 설명이다. 아래의 코드는 해당 악성 애플리케이션의 실제 디도스 공격 수행 코드 중 일부이다.

위 코드에는 상세하게 포함되지 않았지만 해당 악성 애플리케이션은 공격자로부터 특정 명령(DDoS 수행 명령 등) 및 공격타깃 URL이 포함된 SMS를 수신받아 디도스 공격을 수행하는 것으로 확인되고 있다.

이러한 악성코드의 유포 및 감염에 있어 점차 지능화되는 악성 애플리케이션들을에 대해 일반 사용자들은 쉽게 파악하기 어렵기 때문에 안전한 스마트폰 사용을 위해서는 ‘스마트폰 보안관리 수칙’을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라고 잉카인터넷 대응팀 측은 강조했다. 

◆ 스마트폰 보안관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트해 실시간 보안 감시 기능을 항상 ‘ON’ 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

한편, 잉카인터넷 대응팀에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있다. 또한, 보안위협에 대비해 24시간 지속적인 대응체계를 가동하고, ‘nProtect Mobile for Android’를 통해 다양한 모바일 보안위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRFakePK.A

- Trojan/Android.KRFakePK.B

- Trojan/Android.KRFakePK.C

- Trojan/Android.KRFakePK.D

- Trojan/Android.KRFakePK.E

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>