2024-10-05 16:00 (토)
페이스북 로그인 정보 훔치는 안드로이드 악성코드 ‘고스트팀’ 주의
상태바
페이스북 로그인 정보 훔치는 안드로이드 악성코드 ‘고스트팀’ 주의
  • 페소아 기자
  • 승인 2018.01.19 14:58
이 기사를 공유합니다

face-4.jpg
페이스북 로그인 정보를 도용하고, 팝업 광고를 이용해 수익을 창출하는 악성코드를 담고 있는 앱들이 구글 플레이 스토어에 올라와 있다. 수십만명의 피해자들이 이 앱들의 위험에 노출되어 있었던 것으로 드러났다.

‘고스트팀(이하 GhostTeam)’으로 명명된 이 악성코드를 트렌드마이크로의 연구원들이 분석한 결과, 2017년 4월 처음 나타났으며 공식 안드로이드 마켓 플레이스에서 유틸리티앱, 성능 향상 프로그램 및 소셜 미디어 비디오 다운로더로 위장한 것으로 드러났다. 총 53개의 응용 프로그램이 GhostTeam 멀웨어 배포에 사용된 것으로 확인되었으며, 얼마나 많은 피해자가 발생했는지 정확한 수치는 없지만 페이스북에서 비디오를 다운로드 받는 다운로더로 위장된 앱의 경우 약 10만~50만번 다운로드되었다.

연구원들은 왜 공격자가 페이스북 로그인 정보를 도용하려고 하는지는 명확하지 않지만, 이 정보는 추가 멀웨어 배포, 암호화폐 채굴, 가짜 뉴스 확산에 사용할 수 있다고 설명한다.

다운로드된 후 GhostTea은 악성코드 분석을 방지하기 위해 에뮬레이터 또는 가상 환경에서 전화가 실행되고 있지 않은지 확인하는 과정을 거친다. 확인 과정 이후 페이로드는 삭제되고 '구글 플레이 서비스'로 위장되어 앱을 확인해야한다는 메시지가 나타난다. 사용자가 구글 플레이 또는 페이스북을 열면 가짜 버전의 구글 플레이 서비스를 설치하라는 메시지가 표시되고, 그러면 구글 플레이 서비스에 관리자 권한이 요청되어 GhostTeam에서 장치를 제어할 수 있게 된다.

감염된 사용자가 다음에 자신의 페이스북 앱을 열면 표준 로그인 절차와 같은 모양으로 사용자의 계정을 확인하라는 메시지가 나타난다. 그러나 실제로는 뒤에서 악성코드가 WebView 클라이언트에 주입되어 입력된 전자메일 주소와 암호를 도용하여 C&C서버로 전송한다. 이 과정에서 이중인증이 적용되어 있지 않은 페이스북 계정이 공격자가 입수할 수 있다고 간주한다. 트랜드마이크로의 모바일 위협 분석가인 케빈 선(Kevin Sun)은 도난당한 자격증명을 사용하는 캠페인이 아직 나타나지는 않았지만, 실제 사용되지 않은 것은 아닐 것이라고 생각한다고 덧붙였다.

페이스북 자격증명을 훔치는 것외에도 GhostTeam은 적극적으로 피해자에게 전체화면 팝업광고를 띄운다. 이는 클릭 수로 수익을 창출하는 수단일 가능성이 크다. 가능한 많은 수의 광고를 푸시하기 위해 사용자가 기기와 상호 작용할 때 홈 화면에 전체 화면 광고를 표시한다. 또한 백그라운드에서 광고를 표시하여 장치가 끼어있는 상태를 유지한다.

GhostTeam 피해자중 가장 많은 비율이 인도에 있는데, 이는 최근 인도가 미국을 제치고 세계에서 가장 많은 페이스북 사용자를 보유하게 되었기 때문일 것이다. 또한 인도네시아, 브라질, 벹트남, 호주 및 필리핀에서도 상당수 발견되었다.

연구원은 악의적인 응용 프로그램이 베트남에서 사이버 범죄자의 작품일 가능성이 있다고 설명한다. 이는 코드에서 베트남어가 상당수 발견되었기 때문이다. 베트남 내에서는 악성 앱의 기본언어가 베트남어로 설정되고 나머지 지역에서는 영어로 변경된다.

트렌드마이크로 측은 이 내용을 구글에 알렸으며 현재는 모든 GhostTeam앱이 구글 플레이어에서 삭제된 상황이다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★