4단계로 나뉘기 때문에 더 은밀하게 의도 숨길 수 있어
중간에 가짜 앱 설치해도 되냐 한 차례 물어...“의심했어야 할 부분”

[보안뉴스 문가용 기자] 새로운 안드로이드용 트로이목마 패밀리가 발견됐다. 이름은 Android/TrojanDropper.Agent.BKY으로 보통 트로이목마들이 2단계에 걸쳐 공격을 실시하는 것과 달리 4단계에 걸쳐 페이로드를 전파한다. 보안 업체 ESET이 발견해 분석했다.


현재까지 이 패밀리는 구글 플레이에 등록되어 있는 8개 앱에서 발견됐다. 그러나 아직까지 광범위한 피해로 이어지지는 않는 것으로 보인다. 구글이 해당 앱들을 구글 플레이에서 삭제할 때까지 각각 수백 건의 다운로드만 기록했기 때문이다.

ESET 측은 멀웨어 감염이 네 단계에 걸쳐 발생한다는 것에 관심을 보이고 있다. “트로이목마가 2단계로 전파되는 건 흔히 있는 일입니다. 특히 안드로이드 생태계에서는 아주 자주 볼 수 있죠. 하지만 네 단계는 다른 얘기입니다.” ESET의 멀웨어 분석가인 루카스 스테판코(Luka Stefanko)의 설명이다.

페이로드가 여러 단계에 걸쳐 퍼져갈수록 공격자들은 자신들의 궁극적인 의도를 보다 효과적으로 숨길 수 있게 된다. “즉 페이로드가 드로퍼, 디크립터, 다운로드 등을 포함해 4단계로 나뉘어 배포된다는 건 더 깊이 숨어들 수 있었다는 겁니다. 특히 악성 목적을 숨기기에 효과적이죠.”

사용자가 앱을 시작하면, 정상적인 앱처럼 작동하기 시작한다. 사용자에게 지나친 권한을 요구하지도 않아 전혀 의심스럽지 않다고 스테판코는 설명한다. 하지만 1단계가 뒷단에서 발동된다. 2단계 페이로드를 복호화하고 실행시키는 것이다. 1단계나 2단계 모두 사용자의 눈에는 보이지 않는다.

두 번째 페이로드 내에는 하드코드된 URL 정보가 들어 있었다. 그러므로 이것이 실행되면 이 URL로부터 또 다른 앱 혹은 세 번째 페이로드가 다운로드 되기 시작한다. 여기서 이 앱은 정상적인 앱처럼 위장되어 있고, 사용자가 설치에 동의해야 한다. ESET이 발견한 이 세 번째 페이로드 혹은 앱은 어도비 플래시 플레이어나 안드로이드 업데이트처럼 보이기도 했다.

“이 부분에서 사용자들이 한 번 의심할 법합니다.” 스테판코의 설명이다. 아직 ESET은 정확히 어떤 비율로 사용자들이 해당 페이로드를 받아들였는지 혹은 거부했는지 파악하지 못하고 있다. “하지만 일단 세 번째 페이로드가 설치되도록 허용하면 네 번째, 즉 마지막 페이로드의 복호화 작업이 시작됩니다.”

이 네 번째 페이로드가 진짜 뱅킹 트로이목마다. 가짜 로그인 페이지 혹은 양식을 사용자들에게 보여줘 크리덴셜과 신용카드 세부 정보를 훔쳐낸다. ESET이 추적한 결과 3천 개의 다운로드 링크를 발견할 수 있었다. 피해자들 대부분 네덜란드 출신이었다.

ESET은 “우리가 발견한 Android/TrojanDropper.Agent.BKY 샘플은 뱅킹 트로이목마 혹은 스파이웨어이긴 했지만, 다운로드의 경로만 바꾸면 다른 공격에도 사용될 수 있다”고 경고한다. ESET은 이미 9월 후반에 Android/TrojanDropper.Agent.BKY를 발견했다. 하지만 아직 해당 멀웨어 공격자들이 누구인지는 알아내지 못했다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>