| 보안 업데이트 위장 ‘디도스 악성 앱’ 계속 유포중! | 2013.02.18 |
이동통신사 발신번호로 위장해 유포...모바일 디도스 공격 대비해야 [보안뉴스 김태형] 모바일 DDoS 기능을 탑재한 악성 앱이 국내 이용자들에게 은밀하게 지속적으로 전파되고 있어 잠재적 모바일 보안위협이 점차 확대되고 있다. 이는 공격자가 끊임없이 악성 앱을 유포하고 있다는 것으로 모바일 디도스 공격에 악용될 가능성을 배제할 수 없다.
아직까지 실체를 드러내지 않은 공격자는 모바일 디도스 기능을 탑재한 악성 앱을 국내 이용자들에게 은밀하게 쉴틈 없이 전파시키고 있어 잠재적 모바일 보안위협은 점차 증가하고 있는 것. 잉카인터넷 대응팀은 “이러한 정황은 공격자가 치밀하게 공격을 사전 모의하고 있는 것을 의미하며, 적정 이상의 좀비(Zombie) 스마트폰을 확보하기 위한 일련의 준비과정으로 예측된다”고 밝혔다. 잉카인터넷 대응팀 문종현 팀장은 “현재까지 전 세계적으로 실제 모바일 디도스 공격에 대한 공식적인 피해사례나 수법 등이 구체적으로 보고 되지는 않았기 때문에 상황의 심각성을 직접적으로 인식하기에는 여러모로 어려움이 있을 수 있다”면서도 “하지만 공격자가 끊임없이 악성 앱을 유포하고 있다는 그 이상 징후만으로도 모바일 디도스 공격에 대한 가능성과 피해 가능범위 등 철저한 사전 대비와 논의가 진행돼야 할 시점”이라고 말했다. 모바일 디도스 공격의 수법과 피해는 최근까지 가상의 내용으로만 존재하고 있기 때문에 한국의 모바일 이용자 수와 초고속 무선 이동통신망의 환경적 특성을 염두에 두고 다각적인 대응 인프라를 고려해 초기진압을 할 수 있어야 한다는 것. 이동통신사(114) 발신번호로 위장해 유포 중 잉카인터넷 대응팀은 “모바일 디도스 공격 기능을 탑재하고 있는 한국 맞춤형 안드로이드 악성파일(KRDDoS)이 꾸준히 국내 이용자들을 표적으로 유포되고 있다. 특히, 국내 유명 이동통신사 고객지원 전화번호인 114 대표번호로 발신자명을 조작해 보내고 있기 때문에 이용자들은 정상적인 이통사 문자메시지(SMS)로 착각해 악성 앱에 노출되는 피해가 이어지고 있다”고 밝혔다. 아래는 실제 국내 이용자들에게 배포된 문자메시지로 114 번호로 위장해 정상적인 문자메시지와 함께 보여지는 경우가 많아 이용자들은 실제 정상적인 문자메시지로 오인하고 있으며 공격자는 의도적으로 끊임없이 악성 앱을 전파시키고 있다. 발송되는 문자메시지 내용은 다음과 같고 정상적인 문자와 함께 수신된 경우도 존재한다.
[긴급] 안드로이드전용 모바일 보안업데이트 링크클릭 http://goo.gl/********** 모바일 디도스용 악성파일 제작자는 그동안 여러 가지 앱으로 위장해 유포한 바 있는데 △구글코리아 신규 서비스앱 △폰키퍼 △카카오 업데이트 등이 있고 제작자는 △안드로이드 전용 모바일 보안업데이트 링크클릭 이라는 내용을 가장 오래 사용하고 있다. 지난 1월 23일 발견된 형태는 ‘google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭’이라는 문자내용과 해외의 단축 URL 서비스를 조합해 안드로이드 악성파일을 설치하도록 유도하는 문자메시지 형태가 발견됐다. 공격자는 유포 서버의 IP 주소가 차단되면 계속해서 새로운 IP주소를 만들어서 악성 APK 파일을 전파시킨 바 있다.
- 103.21.208.160 - 103.21.208.162 - 103.21.208.164 - 103.21.210.215 - 103.21.210.219 - 103.21.210.220
- 103.21.208.0 ~ 103.21.211.255 공격자는 국내 ISP망에서 접속이 차단되면 지속적으로 IP주소를 변경해 운영했으며 카카오 업데이트로 위장한 변종부터는 IP 주소를 조금씩 변경했다. - 2013년 01월 21일 : 184.22.13.126 - 2013년 01월 25일 : 192.154.109.132 - 2013년 01월 27일 : 184.22.13.126 - 2013년 02월 03일 : 198.13.97.233 - 2013년 02월 05일 : 142.0.140.235 그 이후에는 구글의 앱 엔진(Google App Engine) 서비스를 통해서 모바일 디도스 악성앱을 유포하고 있다. 현재까지 잉카인터넷 대응팀이 파악하고 있는 바에 의하면 모바일 디도스 공격기능의 APK 파일은 2번의 구글 앱 엔진 도메인에서 유포되었고 지난 2월 9일과 2월 16일 동일한 주소이지만 다른 종류의 악성 앱이 전파된 것으로 분석됐다. 구글 앱 엔진을 통해서 안드로이드 악성 앱을 유포하면 실제 스마트폰을 통한 감염 통계자료 등을 대시보드로 활용할 수 있을 것으로 예상되고 공격자는 디도스용 좀비 스마트폰의 감염현황 등을 조회하기 위한 목적으로 사용했거나 구글 공식 관련 앱처럼 위장하기 위한 목적으로 악용했을 가능성이 있다는 게 잉카인터넷 측의 설명이다. 애플리케이션 설치과정에서는 ‘Google Mobile’ 제목으로 아래와 같은 권한 내용을 보여주며 마치 구글과 관련된 앱처럼 보이도록 위장한다. [설치]가 완료되면 다음과 같이 마치 ‘AhnLab V3 Mobile PLUS 2.0’ 제품처럼 조작된 화면을 사용자에게 보여주지만 실제로는 디도스 기능을 보유한 악성파일에 감염된다.
- #b : 시간 확인 및 변수 할당 - #u : 특정 사이트를 공격 목표로 DDoS 기능 수행 - #e : 스레드 실행 여부 확인 및 지연 - #t : 감염된 스마트폰의 전화번호 확인 대부분의 안드로이드 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하거나 마치 정상적인 애플리케이션이 오동작을 일으킨것처럼 위장하고 있는 경우도 있어 일반 사용자들은 이 부분에 쉽게 현혹될 수 있다. 점차적으로 유포 및 감염에 있어 지능화되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 ‘스마트폰 보안 관리 수칙’을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라고 할 수 있다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
