올해 초 등장했던 투슈...장비에 계속해서 전면 광고 노출시키면서 공격자 배불려
다시 등장한 투슈, 이번에는 탐지 및 분석 행위를 방해하는 기능 강화시키는 데 성공

[보안뉴스 문가용 기자] 악성 안드로이드용 애플리케이션들을 대거 분석한 결과가 나왔다. 투슈(Tushu)라는 소프트웨어 개발 키트의 새로운 버전이 대거 발견됐다고 한다. 투슈는 올해 구글 플레이 스토어에서 여러 앱들을 감염시키다가 발각된 것으로, 이번에 발견된 건 두 번째 버전이다. 이를 발견한 전문가들을 이 두 번째 버전을 투슈(Twoshu)라고 부르기 시작했다.


투슈 1
먼저 첫 번째 투슈가 나타난 건 2019년 1~3월의 일이었다. 구글 플레이 스토어에서 유통되던 게임 애플리케이션인 크레이지 브레인스토밍(Crazy Brainstorming)에서 제일 처음 발견됐다. 주로 광고 사기와 관련된 공격 캠페인에 사용됐고, 크레이지 브레인스토밍은 미국에서만 100만번 넘게 다운로드 됐다.

앱의 코드에 포함되어 있는 문자열을 분석했을 때 이 소프트웨어 개발 키트의 개발자는 1tu1shu.com인 것으로 보인다. ‘데이터를 위주로 한 첩보 마케팅 전문 업체’라고 스스로를 묘사하는 중국의 회사다. 추적을 실시하니 이 악성 개발 키트가 심겨진 구글 애플리케이션이 71개나 더 발견됐다. 이 앱들을 전부 분석했을 때 겹치는 도메인들이 몇 가지 모습을 드러냈는데, 일종의 멀웨어 리포지터리로 보였다.

투슈 소프트웨어 개발 키트에는 몇 가지 고유의 특성이 있다.
1) 앱 기능과는 전혀 상관이 없는 전체 화면 광고를 띄운다. 심지어 앱을 실행하지 않아도 광고가 노출될 때가 있다.
2) 심지어 화면이 잠겨 있을 때에도 광고가 전면에 노출된다.
3) 와이파이 망이 바뀐다든지 LTE가 켜진다든지 장비의 네트워크 상태가 변경될 때마다 광고가 노출된다.
4) 충전이 시작될 때나 중단될 때 광고가 노출된다.
5) 이런 공격적인 광고 노출로 인해 개발자들은 광고 수익을 벌어들인다.

처음 투슈가 발견되었을 때 보안 전문가들이 가장 이상하게 생각했던 건 다운로드 수였다. 유명한 앱도 아니었는데 비정상적이라고 볼 수 있는 수치가 기록됐다. 사용자 리뷰의 내용도 그리 좋지 않았었다.

투슈 2
그 후 6개월이 지나고 투슈와 비슷한 악성 광고 앱이 다시 한 번 구글 플레이 스토어에 등장했다. 악성 앱들은 8월 중순 즈음 스토어에 등록되었다가 9월에 사라졌다. 악성 코드는 6개월 전 투슈와 비슷했다. 특히 난독화와 분석 방해 기능에서 여러 가지로 비슷한 면모를 보여주었다. 하지만 전체적으로 업그레이드 된 모습이었고, “이전에 발각된 것 때문에 공격자들이 제대로 준비를 한 듯” 했다.

9월에 사라진 이 두 번째 투슈의 경우 1바이트짜리 XOR 난독화 기능을 가지고 있었다. 따라서 복호화를 통해서만 내용이 보였다. 처음 나타났던 오리지널 투슈의 경우 평문으로도 내용을 열람할 수 있었다. “개발자들이 분석가의 접근을 최대한 늦추고 싶었던 것 같습니다.”

처음부터 투슈를 추적해온 화이트옵스(White Ops)의 수석 분석가 존 레이콕(John Laycock)은 “현재 구글 플레이 스토어에 진입하려는 해커들의 행위가 끈질기게 이어지고 있다”고 지적한다. “구글에 등록되었다가 쫓겨나는 일이 반복되니, 이제 들키는 걸 지연시키고자 암호화와 난독화 부분에서 공을 들이는 모습입니다. 많은 안드로이드 환경의 해커들이 비슷한 맥락에서 노력을 이어가고 있을 것으로 보입니다.”

두 번째 투슈의 경우 중국 오픈소스 프로젝트인 이지프로텍터(EasyProtector)에서 따다가 가져온 코드가 있는 것으로 나타났다. “분석을 위한 가상의 환경인지 아닌지 확인해주는 기능인데, 중국의 유명 프로젝트에서 그대로 가져왔더군요. 또한 어떤 백신 솔루션이 설치되어 있는지 보고 특정 목록과 대조해보는 기능도 있었습니다. 설치되는 것이 아니라 구독형 혹은 외부 호스팅 유형의 백신도 점검하더군요.”

이 투슈는 침투한 환경 내 설치된 앱이 10개 미만이면 작동을 하지 않는다. 혹은 .test라고 이름 붙은 앱이 세 개 이상일 때도 작동하지 않는다. 레이콕은 “지금 구글의 안드로이드 환경에서 흥미진진한 숨바꼭질이 진행 중입니다. 아주 숨 가쁜 속도로 이뤄지고 있습니다. 앞으로 투슈가 어떤 식으로 모습을 바꾸게 될지 면밀히 지켜봐야 할 것 같습니다.”라고 말했다.

3줄 요약
1. 안드로이드 환경 노리는 멀웨어 공격, 끊임없이 이어지고 있음.
2. 올해는 중국발 멀웨어 개발 키트로 보이는 투슈 시리즈가 눈에 띔.
3. 광고를 공격적으로 노출시켜 해커가 광고 수익을 대거 얻어가게 하는 멀웨어로, 최근 두 번째 버전이 나타났다가 사라졌음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>