2020-06-06 07:50 (토)
동남아시아 지역 대상으로 진행 중인 정교한 안드로이드 스파이 공격 발견
상태바
동남아시아 지역 대상으로 진행 중인 정교한 안드로이드 스파이 공격 발견
  • 길민권 기자
  • 승인 2020.05.20 16:41
이 기사를 공유합니다

카스퍼스키 연구진은 안드로이드 기기 사용자를 노린 정교한 악성 공격 활동을 발견했다고 밝혔다.

이 악성 코드의 배후로는 확실하지는 않지만 APT(지능형 지속 공격) 해킹 조직인 OceanLotus가 지목된다. PhantomLance라고 불리는 이 공격은 적어도 2015년부터 진행되었으며 지금도 계속되고 있다. 다양한 버전의 복잡한 스파이웨어(공격 대상의 데이터 수집을 목적으로 생성된 소프트웨어)로 이루어져 있으며 Google Play 공식 마켓의 여러 앱을 통해 유포하는 등 스마트한 유포 전략을 구사한다.

2019년 7월, Google Play에서 새로운 스파이웨어 샘플이 발견되었다는 타사 보안 연구진의 보고가 있었다. 이 스파이웨어에 의외의 특징이 카스퍼스키 연구진의 관심을 끌었다. 정교함의 수준과 동작 양상이 공식 앱 스토어에 업로드되는 일반적인 트로이목마와 매우 달랐던 것이다.

카스퍼스키 연구진은 Google Play에서 이와 매우 흡사한 다른 악성 코드 샘플을 발견할 수 있었다. 보통 악성 코드 개발자가 합법적 앱 스토어에서 악성 앱 업로드에 성공하면 설치 건수를 늘려 공격 대상자 규모를 확대할 목적으로 앱 홍보에 상당한 리소스를 투자하게 된다. 그러나 새로 발견된 악성 앱은 그렇지 않았다. 배후 운영자가 앱의 대규모 확산에 관심을 두지 않는 것처럼 보였다. 연구진은 이를 표적형 APT 활동의 징후로 보았다. 추가 연구조사에서도 수십 개의 샘플을 통해 여러 가지 코드 유사성을 지닌 다양한 버전의 악성 코드를 발견할 수 있었다.

모든 샘플이 기능은 비슷했다. 정보를 모으는 것이 스파이웨어의 주요 목적이었다. 기본 기능이 그리 다양하지 않으며 지리적 위치, 통화 기록, 연락처 접근 권한, SMS 접근 권한 등을 포함하는 한편, 설치된 앱 목록을 비롯하여 모델 및 OS 버전 등의 기기 정보도 수집할 수 있었다. 또한 공격자가 다양한 악성 페이로드를 다운로드 및 실행하고 특정 기기 환경(안드로이드 버전, 설치된 앱 등)에 적합하도록 조정할 수 있었다. 덕분에 불필요한 기능으로 인한 앱 과부하를 피하면서 필요한 정보를 수집할 수 있는 것이었다.

이후 전개된 연구조사를 통해 PhantomLance는 Google Play, APKpure를 비롯한 다양한 플랫폼과 마켓에서 주로 유포되었다는 사실이 밝혀졌다. 합법적인 앱으로 위장하기 위해 악성 코드 유포 시 거의 모든 경우 관련 Github 계정을 만들어 가짜 개발자 프로필을 작성하려 한 것도 눈에 띄었다. 또한 마켓에서 이용하는 필터링 메커니즘을 피할 목적으로 마켓에 업로드하는 앱의 최초 버전에는 악성 페이로드를 전혀 포함시키지 않았다. 그러나 이후 업데이트를 통해 악성 페이로드와 이러한 페이로드를 드롭 및 실행하는 코드가 앱으로 전송되었다.

Kaspersky Security Network 기록에 따르면 2016년 이후 인도, 베트남, 방글라데시, 인도네시아 등지의 안드로이드 기기에서 약 300건의 감염 시도가 발견되었다. 감염 통계에는 2차 감염까지 포함했으며 공격 시도 건수가 가장 많은 국가는 베트남이었다. 공격에 사용된 악성 앱 중에는 베트남 전용으로 제작된 것도 있었다.

카스퍼스키 연구진은 다양한 악성 코드 간의 유사성을 찾아내는 내부 도구인 카스퍼스키 악성 코드 특성 엔진을 사용하여 PhantomLance 페이로드가 OceanLotus와 관련된 과거의 특정 안드로이드 공격과 최소 20% 이상 유사하다는 사실을 규명해낼 수 있었다. OceanLotus는 적어도 2013년부터 활동해온 해킹 조직으로 공격 대상이 주로 동남아시아 지역(SEA)에 분포되어 있다. 또한 과거 보고되었던 Windows 및 MacOS 환경의 OceanLotus 활동과 일치하는 중요한 특성도 여러 가지 발견되었다.

이에 따라 카스퍼스키 연구진은 PhantomLance 공격이 OceanLotus와 관련되어 있을 가능성이 어느 정도 있다고 보고 있다.

카스퍼스키는 발견된 샘플을 합법적 앱 스토어 소유주들에게 모두 알렸다. Google Play 측은 해당되는 앱을 제거했다.

카스퍼스키의 글로벌 위협 정보 분석 팀(GReAT)의 보안 연구원 Alexey Firsh는 “이번 공격은 지능형 해킹 조직이 정체를 점점 더 깊숙이 숨기고 있어 발견하기가 더욱 힘들어지고 있다는 사실을 뚜렷하게 보여준다. PhantomLance는 활동을 시작한지 5년이 넘었으며 목적 달성을 위해 첨단 기술을 사용하여 여러 차례에 걸친 앱 스토어 필터링을 피해냈다. 또한 모바일 영역에 진출하는 해커가 계속 증가하고 있어 모바일 플랫폼을 주요 감염 지점으로 사용하는 사례가 점점 더 보편화될 것으로 보인다. 이러한 양상을 보면 특히 해킹 조직의 추적과 다양한 공격 간 공통점 발견에 도움이 되는 위협 인텔리전스와 지원 서비스의 지속적인 발전이 얼마나 중요한지 알 수 있다“라고 말했다.

한편, 조직 또는 개인을 대상으로 하는 표적형 공격의 피해를 예방하기 위해 카스퍼스키에서는 다음과 같은 조치를 권고하고 있다.

◇ 개인 소비자 권고 사항

▴광범위한 위협을 막아주는 종합적인 보호 서비스를 받으려면 Kaspersky Security Cloud와 같이 신뢰할 수 있는 보안 솔루션을 사용하는 것이 좋다. 이 솔루션은 해커가 고객의 온라인 활동을 추적하지 못하도록 보호하는 Kaspersky Secure Connection을 통합하여 고객의 IP 주소와 지역 정보를 숨기고 안전한 VPN 터널을 통해 고객의 데이터를 전송한다.

◇ 기업 권고 사항

▴사용 중인 엔드포인트 보안 솔루션이 Kaspersky Security for Mobile과 같은 모바일 장치 보호 기능도 지원하는지 확인하여 조치한다. 앱 제어를 통해 회사 장치에는 합법적 앱만 설치할 수 있도록 조치할 수 있어야 하며 루팅된 기기의 차단 또는 루팅된 기기에 저장된 기업 데이터의 삭제를 허용하는 루팅 보호 기능이 지원되어야 한다.

▴보안 운영 센터에 최신 위협 인텔리전스에 대한 접근 권한을 제공하여 범죄자들이 사용하는 신종 악성 도구, 기법, 전술을 지속적으로 업데이트할 수 있도록 지원한다.

▴엔드포인트 수준의 탐지, 조사 및 시의 적절한 치료를 위해 Kaspersky Endpoint Detection and Response과 같은 EDR 솔루션을 구축한다.

▴필수적인 엔드포인트 보호를 적용하는 것 외에도 네트워크 수준에서 지능형 위협을 초기에 탐지할 수 있도록 Kaspersky Anti Targeted Attack Platform와 같은 비즈니스용 보안 솔루션을 구축한다.

★정보보안 대표 미디어 데일리시큐!

◇상반기 최대 개인정보보호&정보보안 컨퍼런스 G-PRIVACY 2020 개최
-날짜: 2020년 5월 28일
-장소: 더케이호텔서울 2층 가야금홀
-참석대상: 공공·금융·기업 개인정보보호 및 정보보안 책임자·실무자
-교육이수: 7시간 인정
-사전등록: 사전등록 클릭
-보안기업 참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com