| [6월 보안이슈 되짚어보기] 카카오톡 보안플러그인 위장 공격 주의! | 2013.06.30 |
구글플레이 마켓 통해서 공식으로 배포... 문자과금 및 이통사망 과부하 우려
[보안뉴스 김태형] 스마트폰 이용자의 주소록 연락처로 무작위로 발송되는 ‘SMS BOMB’ 공격이 포착되어 이용자들의 주의가 필요하다. 이 공격은 문자과금 및 이통사망의 과부하로 인한 피해가 발생할 수 있다.
또한 이 공격은 시간에 비례하여 문자메시지 데이터 소모가 급격히 증가하여 이용자에게는 원치 않는 △과금 요금이 발생할 수 있고 △이동통신사망에도 과부하가 발생할 수 있어 이용자들은 주의해야 한다는 것. 이 때문에 감염자와 함께 지인들에게 동시다발적인 모바일 공격과 피해가 유발되며 이는 금전적 이득 목적의 스미싱 범죄와는 차원이 다른 새로운 모바일 공격 기법으로 안드로이드 악성 앱을 이용한 ‘Mass SMS Attack’이라 정의할 수 있다는 것이 잉카인터넷측의 설명이다. 잉카인터넷 대응팀은 이러한 공격 방법은 기존의 스미싱(Smishing)기법처럼 악성 URL을 배포하는 수법이 아닌 새로운 공격 형태이기에 현재 휴일 비상 긴급대응 체계를 가동하고 있다. 잉카인터넷 대응팀은 국내 보안업체 중 유포지와 악성앱(Trojan/Android.FakeKaKao) 샘플을 공식 확인해 긴급분석을 진행중이며 유관기관에 신속히 정보를 공유한 상태이다. 더불어 현재 모바일 보안제품 중 ‘nProtect Mobile for Android’ 제품으로 4종의 악성앱 변종에 대한 완벽한 치료가 가능한 상태라고 덧붙였다. 현재까지 확인된 바에 의하면 공격자는 이미 전체 이용자가 약 30,000명~150,000 정도의 이용자가 존재하는 다양한 앱의 업데이트를 활용했고 구글플레이 마켓을 통해서 공식으로 배포됐으며 악성 앱이 국내 불특정 다수의 이용자들에게 전파되기 시작한 시점은 2013년 6월 28일로 확인이 완료된 상태이다. 잉카인터넷 대응팀 관계자는 “이 악성 앱은 구글 플레이 마켓에 등록되어 있는 특정 정상 앱이 무단 변조되어 다량 전파된 것으로 보이며, 기존에 이용자가 최소 1만명 이상 확보되어 있는 3가지 앱이 동시다발적으로 유포에 동원되었다”면서 “개발자는 총 4개의 앱을 구글플레이에 등록해 두었지만 이용자가 적은 1개의 앱은 악성 기능이 존재하지 않고 이용자가 많은 3가지 앱을 통해서만 악성기능이 전파되었다”고 설명햇다.
구글플레이에서 해당 앱을 사용하던 전체 이용자는 구글 집계 기준으로 최소 3만명에서 최대 15만명 정도로 예상되며, 이들이 6월 28일에 업데이트를 했다면 악성파일에 노출되도록 구성되어 있다. 악성 앱은 기존에 설치된 이용자들에게는 업데이트 기능을 통해서 배포되고 새로 설치한 이용자의 경우엔 실행 후 약 30분 정도가 지나면 본격적으로 좀비 스마트폰 행동을 개시한다. 그리고 아래와 같이 카카오톡 플러그인 설치화면을 지속적으로 보여주게 된다.
2013년 06월 28일 오후 12시 55분 카카오톡 보안 플러그인으로 위장한 악성앱이 처음으로 제작된다. 같은 날 약 2시간 30분정도 지난 후 오후 3시 36분 경 구글 플레이에 등록될 첫번째 악성앱 제작 -> 오후 4시 49분 두번째 악성앱 제작 -> 오후 4시 58분 세번째 악성앱이 제작되었다. 이 앱들은 모두 구글 플레이에 6월 28일 오후에 등록된다. 이 카카오톡 보안 플러그인으로 위장한 악성앱은 가장 빨리 제작되었지만 다른 전파 매개체 및 숙주앱들에 의해서 설치되고 최종적으로 실행되게 된다. 잉카인터넷 대응팀은 “만약 구글 플레이의 개발자가 직접 악성앱을 등록한 것이 아니라면, 개발자의 컴퓨터나 서버가 해킹을 받아 외부의 공격자에 의해서 강제로 업데이트 되었을 가능성도 배제하기 어렵다”면서 “만약 그렇다면 이는 윈도우 기반의 컴퓨터에서 발생했던 과거 2009년 7.7 DDoS 공격 때와 가장 최근의 6.25 사이버전(Cyber War) 사례와 흡사한 방식일 수 있다”고 덧붙였다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|
 |
