피해자들은 전부 러시아인인 것으로 보여...물리적으로 접근한 듯
C&C 서버는 공공 FTP...암호화 기술도 없어...수준 높아 보이지 않아

[보안뉴스 문가용 기자] 새로운 모바일 멀웨어 임플란트가 발견됐다. 이름은 비지개스퍼(BusyGasper)로, 안드로이드 사용자를 집중적으로 노리는 스파이웨어이나 기존 멀웨어와는 조금 다른 면이 있어 크게 놀라지 않아도 될 것이라고 한다.


보안 업체 카스퍼스키 랩(Kaspersky Lab)의 전문가 알렉세이 퍼시(Alexey Firsh)는 8월 29일 블로그 포스트를 통해 비지개스퍼의 정체를 밝히며 “최소 2016년 5월부터 존재해온 것”이라고 설명했다. “하지만 최근에야 겨우 발견된 이유가 있죠. 피해자가 10명도 되지 않아요. 전부 러시아인으로 보이고요. 게다가 10명 중 두 명은 공격 실험에 참여한 것으로 보이기도 합니다.”

카스퍼스키는 이렇게나 적은 수의 피해자만을 낳은 것도 희귀한 경우라며 “아마도 물리적으로 장비에 접근해 수동으로 멀웨어를 설치하는 방법을 사용한 것이 아닐까”하고 추측한다. “표적을 정해놓고 가까이 가야만 성공시킬 수 있는 공격 방법이 아니라면 이렇게까지 낮은 공격 성공률을 보이기가 힘듭니다.”

비지개스퍼는 모듈러형 멀웨어이며, 약 100개의 명령을 실행할 수 있는 것으로 알려져 있다. 모션 탐지기 등 기기에 탑재된 각종 센서를 스파잉 하는 기능, 메신저 앱으로부터 데이터를 추출하는 기능, 키로깅, 배터리 세이버를 우회하는 기능 등을 가지고 있다고 한다.

아키텍처의 관점에서 보면 비지개스퍼의 특성은 다음과 같이 열거된다.
1) C&C용 FTP 서버와의 통신을 위해 IRC 프로토콜을 사용한다. 안드로이드 멀웨어에서는 극히 드문 경우다.
2) 이 C&C용 FTP 서버는 무료 러시아 웹 호스팅 서비스인 유코즈(Ucoz)에 연결되어 있다.
3) 공격자 이메일의 받은 편지함에 로그인을 하고 명령을 검색하는 방식으로 C&C로부터 명령어를 받는다.
4) 악성 페이로드는 이메일 첨부파일 형태로 전송된다.

카스퍼스키가 분석을 더 진행한 결과 FTP 서버에서 각종 TXT 파일들이 발견됐다. 이 안에는 피해자의 식별자, ASUS 펌웨어 요소 등이 저장되어 있었다. 공격자의 이메일 계정을 추적 분석한 결과, 피해자의 개인정보가 저장되어 있기도 했다.

“기존의 스파이웨어와는 그 어떤 유사점이 발견되지 않았습니다. 비지개스퍼는 독자적으로 개발된 멀웨어일 가능성이 높습니다. 그리고 아마도 한 명 혹은 한 개 단체만이 사용하고 있는 듯합니다. 그러나 암호화 기술도 적용되지 않았고, 공격 기술도 그리 높지 않아 보이며, 공공 FTP 서버를 사용하는 걸로 보아 수준이 그리 높진 않을 것 같습니다.”

또한 카스퍼스키는 비지개스퍼의 최초 모듈이 “C&C 통신을 활성화하고 추가 모듈을 다운로드 하는 기능을 가지고 있다”고 설명했다. 두 번째 모듈은 “멀웨어의 명령 실행 히스토리를 로깅하고, 스파잉에 필요한 기능을 가지고 있다”며 “거의 핵심 요소인 것으로 보인다”고 한다. 키로깅을 담당하는 별도의 모듈도 존재한다.

카스퍼스키의 전문가들은 분석을 더 진행해 임플란트 기능을 통제하는 메뉴가 숨겨져 있다는 것도 발견할 수 있었다고 한다. “수동적인 제어를 위한 장치로 보입니다. 이 메뉴를 활성화하려면 감염된 장비에 하드코딩된 숫자를 호출해야 합니다. 그 수는 9909이고요. 이것 또한 공격자가 물리적으로 접근한다는 걸 알 수 있습니다.”

3줄 요약
1. 비지개스퍼라는 이름을 가진 모바일(특히 안드로이드) 멀웨어 발견됨.
2. 약 2년 동안 활동해왔으나 피해자는 10명 남짓. 아마도 물리적 접근을 반드시 필요로 하는 멀웨어인 듯.
3. 자체 개발된 멀웨어인 것으로 보이나, 개발자 수준이 그리 높아 보이지 않음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>