다양한 기능 가진 케브드로이드와 펍넙랫...여러 정보 훔쳐
합법적인 서비스 사용해 악성 행위 실시...방어하기 까다로워

[보안뉴스 문가용 기자] 새로운 안드로이드용 원격 접근 트로이목마(RAT)가 발견됐다. 이 트로이목마는 침해한 기기로부터 대량의 정보를 탈취해낸다고 한다. 시스코의 탈로스 팀이 발견했으며 이름을 케브드로이드(KevDroid)라 붙였다. 연락처는 물론 메시지, 통화 이력을 훔치고 통화 내용도 녹음할 수 있다고 한다. 현재까지 두 가지 종류의 변종이 발견됐다.


한 개의 변종은 CVE-2015-3636 취약점을 익스플로잇 한다. 이 취약점을 통해 루트에 접근한다. 두 변종 모두 깃허브의 동일한 오픈소스 프로젝트에 기반을 둔 녹음 기능을 가지고 있다.

CVE-2015-3636을 익스플로잇하는 변종은 설치된 애플리케이션, 전화번호, 기기의 고유 식별자, 위치 정보, 저장된 연락처 정보, 저장된 문자 메시지와 통화 목록, 이메일, 사진 등을 훔쳐내는 기능을 가지고 있다.

두 번째 변종은 같은 URL에 호스팅되어 있지만 위의 첫 번째 것보다 용량이 크다. SQLite 데이터베이스를 사용해 데이터를 저장하고, 첫 번째 버전이 수집하는 데이터뿐만 아니라 카메라를 통한 녹화, 음성 녹음, 웹 히스토리, 파일까지 훔치고 루트 권한까지 취득한다.

문제의 APK 파일에는 ELF 파일이 엠베드 되어 있는데, 바로 이 ELF 파일이 CVE-2015-3636을 익스플로잇하는 장본인이다. 루트 권한을 취하는 것이 궁극적인 목표인데, 이 파일의 기본 코드는 깃허브에 공개되어 있다. 권한이 높아지면 공격자는 어떤 공격이라도 실시할 수 있다.

“요즘은 엔드포인트 기기들에 여러 정보들이 저장되어 있습니다. 이중에는 민감한 정보도 상당히 많고요. 그러므로 케브드로이드와 같이 대량의 정보를 훔쳐내는 멀웨어에 감염되면 추적 가능한 다양한 정보가 공격자들의 손에 넘어갈 수 있습니다. 사진, 비밀번호, 은행 관련 정보, 소셜 엔지니어링 정보가 요즘 엔드포인트들에서 발견되는 정보들입니다.”

공격자들은 훔쳐낸 이미지들로 다양한 협박성 공격을 할 수도 있으며, 여러 정보들을 조합해 다중 인증 장치도 무용지물로 만들 수 있다. 이렇게 됐을 때 다양한 피해가 발생할 수 있다. 기업의 엔드포인트가 당했을 경우 지적재산의 피해로도 이어질 수 있고, 사이버전을 위한 정찰용 무기로 둔갑할 수도 있다.

탈로스는 이 멀웨어가 호스팅된 서버를 검사하다가 윈도우 시스템을 목표로 한 또 다른 RAT도 발견했다. 이 멀웨어의 이름은 펍넙랫(PubNubRAT)으로 정했다. 펍넙이라는 글로벌 데이터 스트림 네트워크를 C&C로 사용하기 때문이다. “이렇게 정상적이고 합법적인 서비스를 공격에 활용하면 방어가 까다로워질 수밖에 없습니다. 그래서 요즘 공격자들은 합법적인 앱이나 서비스를 많이 활용하고 있죠.”

펍넙랫은 CVE-2017-11882 취약점을 노린다고 한다. 이는 마이크로소프트 오피스의 취약점으로, 탈로스 팀이 확보한 악성 샘플 파일은 한글로 만들어졌으며 비트코인 및 중국에 관한 정보가 담긴 것으로 밝혀졌다. 감염 후 파일을 훔치고 다운로드 받고 각종 명령을 실행할 수 있다.

탈로스에 의하면 아직 공격자를 추정하기에는 정보가 부족하다고 한다. “케브드로이드나 펍넙랫이나, 아직 배후 조직을 파악하기에는 충분한 증거를 모으지 못했습니다. 그룹 123(Group 123)이 유력해보이긴 하나, 연관성은 희미한 정도입니다. C&C 서버는 한국에 호스팅되어 있는 것으로 나타났고 한국인들을 주로 노리는 것이 저희가 여태까지 알아낸 것입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>