2024-03-29 04:25 (금)
수백만명 안드로이드 사용자 타깃 크립토재킹 공격...가상화폐 채굴 목적
상태바
수백만명 안드로이드 사용자 타깃 크립토재킹 공격...가상화폐 채굴 목적
  • 길민권 기자
  • 승인 2018.02.19 13:18
이 기사를 공유합니다

37788479026_323716538a_z.jpg
수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격이다.

이 공격방식은 멀버타이징 방식을 이용해 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었다.

공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸다.

해외 보안업체들은 "대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다"고 밝혔다.

일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있다. 즉 앱에 포함된 광고 모듈이 사용자를 코인하이브 사이트 키가 있는 악성 채굴 사이트로 리다이렉션시킨다. 이런 앱들은 써드파티 스토어를 통해 무료로 다운로드할 수 있다.

악성 채굴 공격의 특징은 사용자 모르게 공격을 수행하는 점이다. 공격이 수행될 때 사용자는 자신들의 컴퓨터가 채굴에 이용되고 있는지 모른다. 다만 시스템 속도 저하와 비정상적인 팬 회전 현상을 겪게 된다.

그러나 해커들은 채굴 공격에 대해 매우 다른 입장을 취하고 있다.

이들은 경고 문구를 통해 사용자에게 기기가 암호화폐 채굴에 이용되고 있다고 안내한다. 또한 암호화폐 채굴은 서버 트래픽을 해결하기 위한 비용을 지불하기 위함이라고 덧붙이고 있다.

경고 문구는 “당신의 휴대 전화에서 의심스러운 검색 작업이 발견되었다. 캡차 프로그램을 통해 로봇이 아님을 증명하라. 로봇이 아님이 증명될 때까지 봇 트래픽에 의해 발생한 서버 비용을 지불하기 위해 당신의 브라우저는 모네로 채굴 작업을 진행할 예정이다.”라고 밝히고 있다.

모든 사용자의 캡차 코드(w3FaSO5R)는 동일하다. 사용자가 해당 코드를 입력하고 “계속” 버튼을 입력할 때까지 휴대 전화 또는 태블릿 기기는 전속력으로 모네로를 채굴한다. 프로세스를 최대 속도로 가동시키는 이 과정에서 사용자의 기기를 손상시킨다.

트래픽을 분석해보면, 사용자가 모네로 채굴 페이지에 머무는 시간은 평균 4분이다. 악성 사이트는 팝-언더 광고(pop-under: 사이트가 뜰 때 브라우저 뒤에 뜨는 광고 창)로 로딩되어 사용자 모르게 작업을 시작할 수 있다.

작년 11월부터 올 해 1월까지 5개의 사이트 중 2개의 사이트에 320만 명 이상의 사용자가 방문했다.

프로세스 성능과, 채굴 소모 시간이 적다는 점을 고려했을 때, 전체 공격 작업을 통해 한 달에 1~2천 달러 정도의 수익만 발생하는 것으로 추정된다.

그러나 비트코인의 가격 상승으로 암호화폐의 가치가 대폭 상승할 가능성도 있다.

사용자를 채굴 사이트로 리디렉션시키는 사이트가 꼭 악성 사이트가 아닐 수도 있다.

이스트시큐리티 측은 "데스크탑과 유사한 방식으로 모바일 기기도 채굴 공격에 이용될 수 있는 점을 대다수의 사용자들이 아직 잘 모르기 때문에, 해커들은 수백만 대의 안드로이드 기기를 대상으로 성공적으로 공격을 수행해왔다"며 "이 공격은 컴퓨터 보안 방법과 동일하게 보안 소프트웨어를 설치함으로써 예방할 수 있다. 반드시 모바일 백신을 설치하시기를 권고한다"고 전했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★