카스퍼스키가 발견한 트리아다, 가장 고도화된 모바일 멀웨어
RAM에 서식해 눈에 안 띄고, 자이고트로 모든 애플리케이션에서 실행

[보안뉴스 문가용] 강력한 모바일 멀웨어가 등장했다. 안드로이드 기기들을 표적으로 삼고 있으며 카스퍼스키가 최근 발견해, 이름을 트리아다(Triada)라고 붙였다. 카스퍼스키에 따르면 현존하는 최악의 모바일 멀웨어라고 한다.

트리아다(Backdoor.AndroidOS.Triada)는 주로 문자를 바탕으로 이루어지는 온라인 금융거래 통신을 우회시켜 피해자가 추가적인 물품을 구매하게 하거나 심지어 피해자로부터 직접 돈을 훔쳐내는 기능을 가지고 있다. 그러나 카스퍼스키가 ‘최고로 발전한’ 모바일 멀웨어라고 할 정도로 특별한 점은 무엇인가? 모듈화된 설계와 침투한 시스템의 모든 프로세스에 잠입할 수 있다는 것이다.

모듈화가 좋은 점은 공격자가 트리아다를 활용해 거의 모든 일을 할 수 있다는 것이다. 굉장한 자유도를 부여하는 것. 카스퍼스키는 “공격자를 제한하는 건 피해자가 가진 기기의 성능뿐”이라고 표현할 정도다.

현재 이 멀웨어는 광고 봇넷(advertising botnet)을 통해 배포되고 있다고 한다. 이 봇넷에서 카스퍼스키는 추가적으로 리치(Leech), 지토그(Ztorg), 고르포(Gorpo), Trojan.AndroidOS.Iop 등의 멀웨어들도 발견했다고 밝혔다. 이 멀웨어들에는 루팅 기능이 있어 서로가 서로를 배포하며 다른 애플리케이션들도 다운로드 및 설치할 수 있다.

하지만 이런 멀웨어의 무리들 속에서 트리아다가 눈에 띄는 건 자이고트(Zygote) 부모 프로세스를 사용해 기기 내 모든 소프트웨어의 콘텍스트에서 코드를 실행할 수 있기 때문이다. 자이고트 프로세스는 거의 모든 앱들이 사용하는 시스템 라이브러리들과 프레임워크들을 포함하며, 모든 새로운 앱의 템플릿이다. 다시 말해 이 멀웨어는 애플리케이션이 실행되는 프로세스와 템플릿 자체를 건들이기 때문에 사실상 모바일에 설치된 모든 앱들에서 실행이 가능하다는 것이다.

또한 트리아다는 루트 권한을 활발하게 사용해 시스템 파일을 교체하고, 주로 모바일 기기의 RAM 내에 존재한다. 그래서 탐지가 매우 어렵다고 카스퍼스키는 설명한다. 또한 이미 실행되고 있는 서비스 목록 혹은 애플리케이션 목록, 설치된 패키지 목록, 설치된 애플리케이션 목록 등에 자신의 모듈을 숨겨 놓기도 한다.

이런 식으로 공격자에게 엄청난 자유도를 부여하면서, 탐지도 매우 어렵고, 게다가 침투한 모바일 시스템에서 실행되는 거의 모든 소프트웨어에서 실행이 가능한 멀웨어는 “듣도 보도 못한” 수준이라고 카스퍼스키는 설명한다. “현존하는 모바일 멀웨어 중 가장 복잡하고 위험한 놈입니다.”

특히 멀웨어가 모든 애플리케이션에서 실행이 가능하다는 건 무궁무진한 공격 시나리오를 의미한다고 카스퍼스키는 평가한다. “즉 앞으로 트리아다를 이용한 기상천외한 공격이 나와도 이상하지 않을 정도입니다. 그게 트리아다를 더 위험한 멀웨어로 만드는 것이죠.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>