| 안드로이드 수천만 대 위협하는 카피캣 멀웨어 | 2017.07.07 |
이름은 카피캣인데, 사실은 독자적...새로운 패밀리로 분류
안드로이드 사용자들 패치 느려 현재 60% 사용자가 위험에 노출 [보안뉴스 문가용 기자] 안드로이드 기기 수천만 대가 카피캣(CopyCat)이라는 새로운 멀웨어에 감염된 사실이 보안업체 체크포인트(Check Point)에 의해 밝혀졌다. 카피캣은 독특한 방법으로 애드웨어를 기기에 주입시킨다고 한다. 현재까지 밝혀진 바, 아시아 지역이 가장 큰 피해를 입고 있으며, 그 다음은 아프리카, 그 다음은 아메리카다. 각각 전체 피해의 55%, 18%, 12%를 차지했다.  [이미지 = iclickart] 체크포인트가 카피캣을 처음 발견한 건 지난 3월의 일이다. 체크포인트의 기업 고객 중 한 곳에서 카피캣 공격이 발생한 것이다. 그러나 이것이 최초의 카피캣 탄생일은 아니라고 체크포인트는 설명한다. “적어도 작년 4~5월에도 대대적인 활동을 벌인 것으로 보입니다. 카피캣도 애드웨어의 일종에 불과하지만 기존 애드웨어와 큰 차이를 보이죠. 그래서 저희는 카피캣을 새로운 애드웨어 패밀리로 보고 있습니다.” 체크포인트의 보안 전문가인 다니엘 파돈(Daniel Padon)은 “특히 유명 애드웨어 패밀리인 허밍배드(HummingBad)나 굴리간(Gooligan)과는 전혀 다른 전략과 행동방식을 가지고 있다”고 카피캣에 대해 설명한다. “현재까지 분석한 바에 의하면 카피캣은 사용자가 서드파티 앱스토어에서 앱을 다운로드 받을 때 퍼집니다. 공격자들이 인기가 많은 앱을 카피캣과 섞어 리패키징해서 스토어에 올리고, 사용자가 이를 받도록 피싱 공격을 하는 방식이 주요 전략이라고 보입니다.” 그렇게 안드로이드 기기를 감염시키면 ‘루팅’과 비슷한 작업을 진행해 공격자가 완벽한 통제권을 가지고 간다. 그런 후 사용자 허가 없이 악성 앱들을 설치하기 시작한다. 여기까지는 기존 멀웨어들이 보여준 전략들과 비슷하다. 카피캣의 진정한 차별성은 악성 앱이 사용자 몰래 설치되고 나서부터 드러나기 시작한다. “광고를 보고 사용자가 앱을 설치했을 때 광고료가 발생하죠? 카피캣은 이 부분에 개입합니다. 즉 자기가 사용자가 설치한 앱에 대한 광고료를 받는 겁니다. 정당히 광고료를 받을 사람의 ID를 자기 것으로 대체함으로써 말입니다.” 또한 가짜 앱을 설치하는 모듈과 원래 ID를 자기 것으로 바꿔치기 하는 모듈이 나눠져 있기 때문에 공격자들은 광고료에 대한 권리를 훔칠 수 있게 된다. 체크포인트는 카피캣 공격자들이 최소 15억원 이상의 수익을 거둔 것으로 예상하고 있다. 또한 중국 광고 네트워크인 모비섬머(MobiSummer)와도 연관성이 있는 것으로 보고 있다. 다만 어떤 식으로, 어떤 의도로 해당 연결고리가 성립되었는지는 불투명하다. 카피캣에 취약한 시스템은 안드로이드 5와 그 아래 버전들이다. 구글에 따르면 여기에 해당하는 모바일 사용자는 전체 안드로이드 사용자의 60% 정도 된다. 또한 보안 업체 팔로알토 네트웍스(Palo Alto Networks)도 새로운 안드로이드 멀웨어를 발견했다고 발표했다. 이름은 스파이딜러(SpyDealer)로 바이두 이지 루트(Baidu Easy Root)를 사용해 루트 권한을 취득하고, 40개 앱에서 민감한 정보를 훔쳐낸다고 한다. 안드로이드 버전 2.2~4.4 버전이 이 공격에 취약한데, 2.2~4.4 버전은 전체 기기의 약 25%를 차지한다고 한다. 체크포인트는 카피캣에 대한 사실을 지난 3월에 발견한 후 구글에 알렸다. “주로 서드파티 스토어를 통해 확산되는 멀웨어라 구글이 할 수 있는 일이 크게 있을까 싶었지만 현재 카피캣 공격 캠페인이 크게 줄어들긴 했다”고 체크포인트는 밝히고 있다. “그렇지만 안드로이드 환경은 전통적으로 ‘패치’가 잘 이뤄지지 않는 환경이었죠. 그 때문에 카피캣의 위험은 항상 도사리고 있다고 봐야 합니다. 안드로이드 멀웨어의 생명력은 꽤나 강한 편입니다.” [국제부 문가용 기자(globoan@boannews.com)] Copyrighted 2015. UBM-Tech. 117153:0515BC |
|
 |
