| 악성 애드웨어 이용한 안드로이드폰 대상 해킹 공격 발생 | 2015.10.05 | ||||
파이어아이, “중국발 해킹...한국도 침해 영향권에 포함” [보안뉴스 김태형] 악성 애드웨어를 이용한 안드로이드폰 대상 해킹 공격 정황 2건이 포착됐다. 이번 공격은 모두 유명 애플리케이션에 악성 애드웨어를 심는 수법을 이용했으며, 중국발 해킹 공격인 것으로 추정되는 것으로 알려졌다.
▲ 악성 애드웨어의 스마트폰 침해 과정 파이어아이(지사장 전수홍, www.fireeye.kr)는 전 세계적으로 확산되고 있는 안드로이드폰 대상 해킹 공격 2건을 포착했다고 밝혔다. 첫 번째 공격은 악성 애드웨어를 이용하여 사용자의 안드로이드폰에 침입하고, 통제하는 수법을 이용했으며, ‘NGE Mobi/Xinyinhe’라는 중국 모바일 애플리케이션 광고 회사를 공격 주체로 추정한다고 전했다. 공격 그룹은 유명 애플리케이션을 리패키지하며 악성 로직을 심어 배포한 뒤, 이를 다운받은 스마트폰에 침입하는 수법을 이용했다. 사용자가 스마트폰에 악성 애플리케이션 다운받으면, 멀웨어(Malware)와 악성 페이로드(Payload)가 침입해 디바이스 관련 정보를 원격 서버에 업로드한다. 파이어아이는 이번 공격의 배후에 중국 모바일 애플리케이션 광고 회사, NGE xinyinhe가 있다고 추정하며, 사례 분석을 통해 몇 가지 증거를 확보했다고 전했다. 서버 인증서 정보를 분석한 결과, 공격에 사용된 인증서 중 하나의 도메인명(CN, Common Name)이 ‘ngstream’이었다. 여기서 ‘ng’는 ‘new galaxy’를 의미하며, 이는 공격 그룹이라고 추정되는 회사명인 ‘xinyinhe’의 영문명이다. 인증서의 기관 항목(Organization) 역시 ‘xinyinhe’였다고 밝혔다. 사용자의 스마트폰에 침입한 애드웨어는 스마트폰에 특정 애플리케이션을 자동으로 다운받거나, 사용자가 APK 설치 버튼을 클릭하도록 유도한다. 이를 통해, NGE Xinyinhe는 그들이 광고하는 애플리케이션의 다운로드 수를 올리고, 광고 메시지를 계속적으로 제공하며 수익을 올린 것으로 알려졌다. 악성 애드웨어는 안드로이드 2.3.4.버전부터 5.1.1.버전에 걸쳐 영향을 미쳤으며, 이는 현재 이용되는 거의 모든 안드로이드 버전을 포함한다. 또한, 아마존, 메모리 부스트, 클린 마스터, 플래시라이트 등 300개가 넘는 애플리케이션이 리패키지 되어 악성 애플리케이션으로 배포됐다.
▲ 악성 애드웨어에 의해 자동으로 설치된 ‘쿨 브라우저’ 및 함께 설치된 위젯 이어 파이어아이는 이와 유사한 수법의 안드로이드 대상 악성 애드웨어 ‘Kemoge’를 추가로 발견했다. ‘Kemoge’ 역시 유명 애플리케이션으로 리패키징 되어 사용자의 스마트폰에 침입한 후, 루팅 작업을 통해 영속적으로 스마트폰에 접근하고 제어하는 애드웨어이다. 몇몇 침해 사례에서는 루팅 과정에서 NGE xinyinhe 이용한 ‘루트 마스터’가 사용된 것으로 밝혀져, 두 악성 애드웨어는 상당히 유사한 수법을 이용했다고 보여진다. 파이어아이는 현재 ‘Kemoge’ 이용 침해 사례의 코드에 중국 간체자가 포함된 것과 침해 사례가 발견된 애플리케이션의 개발자 이름이 Zhang Long인 것을 근거로 이것이 중국발 공격이라고 추정한다고 전했다. 또한, 한국을 포함하여 전세계 20여개 국이 ‘Kemoge’ 침해 영향권 아래 있으며, 정부 기관과 대기업이 주요 공격의 대상으로 포함됐다. 파이어아이 코리아 전수홍 지사장은 “안드로이드폰을 완전히 통제하는 악성 애드웨어들이 발견됨에 따라, 전 세계의 수 많은 안드로이드폰이 위협에 노출된 상태”라며, “해킹 위협으로부터 모바일 기기를 지키기 위해서 공식 앱스토어가 아닌 채널을 통해 애플리케이션을 다운받는 것은 지양하고, 최신 버전의 안드로이드OS를 이용해야 한다"고 덧붙였다. [김태형 기자(boan@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||
 |
