빛스캔 “PC뿐만 아니라 스마트폰도 웹사이트 접속과 동시에 감염”
악성코드 공격자들의 감염 수법이 점차 고도화되고 있다. 이제 PC와 동시에 안드로이드 스마트폰까지 동시에 노리고 있는 실정이다. 지난 3월 13일 빛스캔(대표 문일준) PCDS에 의해서 발견된 자동화 공격도구 공다팩 내부에서 스마트폰을 감염시키기 위한 움직임이 사전 포착되었다.빛스캔 측은 “국내 특정 웹사이트를 통한 악성코드 유포시 등장했으며 1~2시간 정도 짧은 시간 동안 유포하고 사라진 것으로 관찰되었다”며 “이러한 정황을 종합해봤을 때 모바일 악성코드를 감염시키기 위한 테스트 기간으로 판단했고 이후 모니터링을 한층 더 강화했다”고 밝혔다.
<3월 22일, 미스터피자 웹사이트에 삽입된 .apk 파일. 빛스캔 제공>
실제로 3월 22일 미스터피자 모바일 웹사이트를 통해서 공다팩과 함께 모바일운영체제인 안드로이드 OS만을 노린 악성앱(.apk)이 동시에 유포되는 현상이 나타난 것이다.
업체 측은 추가 분석을 통해 공격자의 서버로 감염된 모바일 사용자의 SMS와 같은 정보가 전송되고, 이를 관리하는 모습도 포착했다. 더욱 우려되는 점은 모바일 악성코드가 감염되는 과정이 그 동안 나타났던 스미싱, 단축 URL 등의 기법이 아닌 웹 사이트를 방문하는 과정에서 악성앱이 다운로드된다는 것이다. 실제 사용자가 위험을 인식하지 못한 가운데 악성앱이 설치되는 것이다.
PC 사용자가 해당 사이트에 방문하게 되면 http://www.mrpizza.co.kr 로 연결되지만, 모바일로 접속하게 되면 http://m.mrpizza.co.kr로 자동연결된다. 물론, PC에서도 http://m.mrpizza.co.kr로 접속이 가능하고, 그경우 모바일 화면과 동일하게 보여진다.
심각한 점은 바로 공격자가 PC 이용자와 모바일 이용자 모두 노리고 있다는 점이다. 기존 PC 이용자가 접속할 경우에는 공다팩이라는 공격도구를 이용해 악성코드에 감염시키게 되고, 모바일 사용자가 접속할 경우에는 .apk 파일을 다운로드하도록 해 감염된다. 참고로, PC를 통해 감염된 악성파일을 분석한 결과, 금융 관련 공격이 파밍 기능과 백도어 기능을 가지고 있었다.
모바일 악성앱 파일을 분석결과 일부 유틸을 통해서 공격자 서버로 전송하는 IP 정보를 확인했으며 해당 위치를 추적한 결과 아파치서버를 운영하는 모습도 확인됐다. 서버가 운영된다는 것은 해당 페이지로 감염자의 정보를 전송하고 있는 것을 받는 관리 페이지로 빛스캔은 판단하고 있다. 또 하위 URL까지 추적한 결과 감염 된 사용자의 정보가 관리되고 있는 모습도 확인됐다.
<APK 내부를 통해 공격자의 IP 정보 확인>
빛스캔 관계자는 “공격자의 서버에 로그인해 수집된 정보를 확인한 결과 접속자 현황, SMS 송수신 등, 모바일 장비에서 주고받는 데이터를 확인할 수 있는 로그를 전반적으로 관리하는 모니터링 페이지가 존재했다”며 “특히 SMS로 전송받는 데이터를 수집되고 있었으며, 국내 인터넷 뱅킹에서 사용되는 SMS 인증 문자, 제품 구매 안내 문자 등 다양한 정보가 공격자 서버로 실시간으로 수집되고 있는 정황 또한 확인됐다. 공격자는 이 정보를 바탕으로 실제 모바일 악성코드에 감염된 사용자의 공인인증서 비밀번호, 인터넷뱅킹 보안카드 등록처리를 하는 등 실질적인 공격이 이용할 가능성이 높다”고 우려했다.
<개인 주민등록번호, 계좌번호 등 수집중인것 확인>
SMS를 통해 유출된 정보는 사용자의 사적인 대화나 아이디, 비밀번호 재발급시 임시적으로 발급되는 코드와 계좌이체, 누적금액, 카드사 정보 등이 포함되어 있었으며 발송되었을 시 IP주소까지 나타나 있었다.
<SMS 송수신 내역 수집>
특히, IP주소를 확인한 결과 통신사에 연계된 IP로 확인되었으며, 공격자가 이러한 정보를 대량으로 확보할 경우, DDoS 공격 등을 통해 통신망 장애를 발생시킬 가능성도 존재하고 있기 때문에 매우 우려되는 상황이다.
국내에서는 안드로이드 OS 의 점유율이 iOS나 기타 모바일 OS보다 훨씬 많은 상황이기 때문에, 보안 관련된 이슈가 발생한다면 꽤 심각한 상황을 초래할 가능성이 높다. 더욱이 안드로이드는 파편화(Fragmentation)가 심각하기 때문에 취약점 발생시 각 개발사가 업데이트를 개별적으로 제공해야 해서 적시에 업데이트하기 어려운 부분이 있다. 또 하위 OS를 사용하는 비율도 높은 만큼 업데이트를 최신으로 유지하기 어려운 상황이 지속되고 있어 악성코드 유포를 위한 최적 환경이 갖춰진 상태다.
또 웹을 통한 감염을 예방하기 위해서 구글은 스탑배드웨어라는 정책을 통해 크롬 및 사파리 브라우저에서 악성코드를 유포하는 사이트의 방문을 예방하고, 심각성을 알리는 기능을 제공하고 있다. 하지만 모바일 OS에서는 아직 이러한 보안 기능이 제공되지 않는다. 따라서 실제로 이러한 감염을 예방하거나 차단할 수 있는 효과적인 방안이 아직 없는 상태다. 다만, 구글 검색에서 검색 결과에서만 일부 제공하고 있는 실정이다.
마지막으로, 수집된 정보 가운데에는 특정 IP가 통신사에 관련된 IP로 확인되었다. 공격자가 이러한 특징을 가진 IP 주소를 수집, 가공해 준비한다면, 특정 지역을 대상으로 공격하거나, DDoS와 같은 공격을 통해 통신망 장애를 일으킬 가능성도 존재하고 있기 때문에 매우 우려되는 상황이고 빛스캔 측은 설명했다.
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지
