2020-03-31 01:10 (화)
악성코드에 감염된 스마트폰 12만대로 공격하는 ‘WireX DDoS 봇넷’
상태바
악성코드에 감염된 스마트폰 12만대로 공격하는 ‘WireX DDoS 봇넷’
  • 길민권 기자
  • 승인 2017.08.30 16:59
이 기사를 공유합니다

구글, 300개 WireX 앱들 중 대부분 차단했지만 여전히 위협적

andr-5.jpg
해킹 된 안드로이드 스마트폰 수만대로 이루어진 새로운 DDoS 공격용 봇넷이 발견됐다. 일명 ‘WireX’로 ‘Android Clicker’라 탐지되는 이 봇넷은 주로 구글 플레이 스토어를 통해 설치된 수백개의 악성코드들이 포함되어 있었다. 또한 이는 대규모의 어플리케이션 레이어의 DDoS 공격을 실행하도록 설계 되었다.

아카마이, 클라우드플레어, 플래시포인트, 구글, 오라클 Dyn, 리스크IQ, Team Cymru 등의 보안 및 인터넷 기술 회사들은 이달 초 다수의 사이버 공격들을 발견하고 이를 해결하기 위해 서로 협력해왔다.

WireX 봇넷은 이달 초 작은 규모의 DDoS 공격을 실행하는데 사용 되었지만, 8월 중순 이후 공격이 확대 되기 시작했다.

이 ‘WireX’ 봇넷은 이달 초 이미 최대 12만대의 안드로이드 스마트폰을 감염시켰으며, 지난 8월 17일, 연구원들은 100개국 이상의 감염 된 모바일 기기 7만대 이상으로부터 발생한 대규모 DDoS 공격(주로 HTTP GET 요청)을 발견했다.

추가 조사를 통해, 보안 연구원들은 구글의 공식 플레이스토어에서 300개 이상의 악성 앱들을 발견했다. 이들은 미디어, 비디오 플레이어, 벨소리, 스토리지 관리 및 앱스토어를 위한 툴로 위장하고 있었으며 악성 WireX 코드를 포함하고 있었다.

다른 많은 악성 앱들 처럼, WireX 앱들은 탐지를 피하고 구글 플레이 스토어에 등록 되기 위해 즉시 악성 행위를 하지는 않으며, "axclick.store"의 서브 도메인 여러 개에 위치한 C&C 서버로부터 명령어를 기다린다.

구글은 300개의 WireX 앱들 중 대부분을 발견해 차단했다. 이 앱들은 대부분 러시아, 중국 및 다른 아시아 국가에서 다운로드 되었다. 하지만 WireX 봇넷은 아직도 소규모로 운영 되고 있는 것으로 나타났다.

기기에서 구글의 플레이 프로텍트 기능을 포함한 최신 버전의 안드로이드 OS를 사용하고 있다면 구글은 자동으로 기기에 설치 된 WireX 앱들을 제거할 것이다.

플레이 프로텍트는 머신 러닝 및 앱 사용 분석을 통해 사용자의 안드로이드 기기로부터 악성 앱을 제거할 수 있는 구글이 새로이 추가한 보안 기능이다. [출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★