뱅킹 멀웨어 엑소봇, 2.5 버전의 소스코드 유출돼 변종 등장할 것 당연
오버레이 공격으로 크리덴셜 훔쳐가는 수법 사용...범죄자들에게 추가 수익

[보안뉴스 문가용 기자] 안드로이드 사용자를 노리는 수많은 위협 중 엑소봇(Exobot)이라는 뱅킹 멀웨어가 있다. 엑소봇은 최근 2.5 버전의 소스코드가 유출된 바 있어 공격적으로 확산될 것이 예상되기도 했다.


엑소봇 2.5 버전이 처음 발견된 건 2018년 5월의 일로, 트럼프 에디션(Trump Edition)이라는 별명을 가지고 있다. 이를 다크웹에서 발견한 보안 업체 트립와이어(Tripwire)는 엑소봇의 소스코드가 유출된 사실을 파악하고, “앞으로 엑소봇의 변형들이 자주 출몰할 것”이라고 예상했었다.

또 다른 보안 업체 쓰레트패브릭(ThreatFabric)도 엑소봇을 분석했다. 쓰레트패브릭의 보안 전문가인 센기즈 한 사힌(Cengiz Han Sahin)은 블리핑 컴퓨터와의 인터뷰를 통해 엑소봇을 다음과 같이 설명했다.

“엑소봇은 포그라운드 앱(foreground app), 즉 현재 화면에 나타나고 있는 앱의 패키지 이름을 가져갑니다. 추가 권한 요청 같은 것이 이뤄지지 않습니다. 약간 버그성으로 볼 수 있는데, 그래도 대부분의 경우 별 문제없이 작동합니다. 재미있는 건 안드로이드 시스템의 권한을 필요로 하지 않는다는 겁니다. 기존 안드로이드 뱅킹 멀웨어들은 접근성이나 스탯 사용 권한을 필요로 하거든요.”

은행과 관련된 웹사이트나 애플리케이션이 잦은 공격에 노출되어 있다는 건 누구나 알고 있는 사실이다. 또한 안드로이드 환경에서 작동하는 멀웨어 역시 이제는 꽤나 흔하게 발견된다. 그렇다면 트럼프 에디션만이 갖는 특별한 위험성은 무엇일까?

사힌은 두 가지를 꼽는다. “감염된 안드로이드 기기들로 금융 기관의 웹사이트에 접속하면 오버레이 공격으로 사용자 크리덴셜이 추가 도난당한다는 것이 하나입니다. 그리고 두 번째는 소스코드가 유출됐기 때문에 앞으로 엑소봇에 근간을 둔 모바일 뱅킹 멀웨어가 빠르게 확산될 것이라는 점입니다.”

엑소봇과 같은 유형의 공격이 빠르게 늘어나면, 장기적으로도 결코 좋을 수 없다고 사힌은 강조한다. “금융권에만 나쁜 영향이 미치는 게 아닙니다. 크리덴셜을 훔쳐가기 때문에 다른 상거래 분야에서도 영향이 없을 수가 없어요. 엑소봇이 퍼지면 퍼질수록 피해를 보는 산업 역시 늘어날 것입니다.”

보안 업체 뉴데이터 시큐리티(NuData Security)의 부회장인 라이언 윌크(Ryan Wilk)는 “엑소봇이 캐가는 크리덴셜은 다크웹에서도 거래될 것”으로 예상하고 있다. “오버레이 공격 기능을 가지고 있기 때문에 크리덴셜만이 아니라 모바일에 저장된 개인식별 정보도 위험해지죠. 금융권도 노리면서 다크웹에서 추가 수익도 올릴 수 있게 해주기 때문에 엑소봇의 인기는 점점 높아질 겁니다.”

보안 업체 원스팬(OneSpan)의 수석 보안 전략가인 프레데릭 멘스(Frederik Mennes)는 보안 매체 인포시큐리티매거진을 통해 “엑소봇에 힌트를 얻은 공격자들이 오버레이 공격 자체를 각자의 방법으로 시도하는 게 잠시 유행할 수도 있다”고 경고한다. “앱 화면 위에 보이지 않는 화면을 하나 더 깔아서 사용자의 눈을 속이고 크리덴셜 등의 민감한 정보를 캐가는 공격이 앞으로 꽤 등장할 것 같습니다.”

뱅킹 멀웨어는 아니지만 미라이(Mirai)라는 IoT 봇넷 멀웨어 역시 소스코드가 유출된 이후 수많은 변종들이 등장하기도 했다.

3줄 요약
1. 안드로이드 뱅킹 멀웨어 엑소봇 2.5. 별명은 ‘트럼프 에디션.’ 소스코드가 유출되다.
2. 오버레이 공격 통해 사용자 크리덴셜 가져가기 때문에 기존 뱅킹 멀웨어보다 더 위협적.
3. 소스코드 유출됐기 때문에 엑소봇 변종 다량 등장하거나, 오버레이 공격 유행할 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>