아누비스 멀웨어 탑재한 가짜 앱, 모션 센서 확인한 후 작동 시작
현재까지 활발하게 움직이고 있는 캠페인...악성 IP 주소 자주 바꿔

[보안뉴스 문가용 기자] 가짜 환율 계산기와 가짜 배터리 유틸리티 프로그램이 공식 구글 플레이 스토어에 등록됐다. 이를 발견한 보안 전문가에 의하면 이 앱들은 사실 아누비스(Anubis)라는 뱅킹 멀웨어 패밀리에 속한 것들이라고 한다.


이러한 사기 앱을 발견한 보안 업체 트렌드 마이크로(Trend Micro)는 “앱들이 악성 코드를 실행하기 전에 꽤나 교묘한 방법으로 안전한지 확인한다”고 설명한다. 트렌드 마이크로의 1월 18일자 블로그 게시글을 통해 밝혀진 이 교묘한 방법은 바로 장비의 모션 센서 데이터를 수집하는 것이다. 이를 통해 장비가 움직이고 있는 상태인지 아닌지 파악하기 위함이라고 한다.

만약 모션 센서의 데이터를 수집했을 때 장비가 제자리에 멈춰있는 것으로 보이면 앱은 샌드박스 환경에 걸려든 것일 수도 있다고 판단을 내린다고 한다. 아무리 실제 환경을 흉내 낸 샌드박스라고 하더라도 모션 센서에서 데이터를 생성하지는 않기 때문이다. “그래서 kill 명령을 내려 악성 행위를 멈춥니다.”

반면 장비가 막 움직이고 다녀 모션 센서 데이터가 마구 쌓이는 상황이라면, 앱은 사기 행위를 발동시킨다. 시스템 업데이트인 것처럼 사용자를 속여 설치하도록 하는 것이다. 물론 이 때 설치되는 건 아누비스의 페이로드다.

트렌드 마이크로의 케빈 선(Kevin Sun)은 “배터리 앱의 이름은 배터리세이버모비(BatterySaverMobi)이며, 5000번 이상 다운로드 됐다”고 설명했다. 현재는 구글이 해당 앱을 스토어에서 삭제한 상태다. 또 다른 앱의 이름은 커런시 컨버터(Currency Converter)라고 하는데, 트렌드 마이크로는 다운로드 횟수에 대한 정보는 제공하지 않았다.

케빈 선은 “페이로드를 분석했을 때 아누비스 샘플과 놀라울 정도로 비슷했다”며, “이 멀웨어와 연결된 C&C 서버는 aserogeege.space라는 도메인에 마련되어 있었다”고 설명했다. “그런데 이 도메인 역시 아누비스와 연결되어 있습니다.”

케빈 선은 추적을 더 진행했고, 같은 악성 IP 주소에 연결된 18개의 악성 도메인들을 찾아내는 데에도 성공했다. “이 도메인을 분석한 결과 아누비스 멀웨어가 이 18개 도메인들의 하위 경로(subpath)를 사용하고 있다는 걸 확인할 수 있었습니다. 이 도메인들은 IP 주소를 꽤나 자주 바꿉니다. 2018년 10월부터 지금까지 대략 6번 정도 변경한 건 같습니다. 즉 아누비스 캠페인이 얼마나 활발하게 진행되고 있는지 알 수 있죠.”

아누비스는 사용자 계정 크리덴셜을 훔치는 것을 가장 기본으로 삼고 있는 멀웨어다. “주로 사용자의 키스트로크를 몰래 저장하거나 스크린샷을 캡처하는 방식으로 크리덴셜을 탈취합니다.”

트렌드 마이크로는 현재 아누비스 최신 버전이 93개국에 침투했으며, 377개의 금융 관련 앱들을 공격했다고 밝혔다. 또한 장비 내에서 연락처 정보를 훔치거나 오디오 녹음 파일을 C&C로 빼내고 SMS 메시지를 전송하는 등의 공격도 할 수 있다고 경고했다. “심지어 전화를 걸 수도 있고, 외부 스토리지를 변경시킬 수도 있습니다.”

3줄 요약
1. 구글 플레이 스토어, 또 악성 앱이 농락당했다.
2. 환율 계산기 앱과 배터리 관리 유틸리티로 위장한 아누비스 멀웨어가 주인공.
3. 아누비스 멀웨어는 크리덴셜 훔치는 것을 위주로 하는 악성 멀웨어.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>