2014.04.01

PC와 스마트폰을 함께 노리는 사이버 공격 등장...빛스캔

편집부 | ITWorld
빛스캔은 최근 PC와 스마트폰 사용자를 함께 노리는 공격을 포착했다고 밝혔다.

빛스캔 측은 "3월 22일 미스터피자 모바일 웹사이트에서 공다팩과 함께 모바일 운영체제인 안드로이드만을 노린 악성앱(.apk)이 동시에 유포되는 상황을 포착했다"며, "추가 분석 결과, 공격자의 서버로 감염된 모바일 사용자의 SMS와 같은 정보가 전송되고, 이를 관리하는 모습도 찾아냈다"고 말했다.


빛스캔에 따르면, PC 사용자가 해당 사이트에 방문하면 http://www.mrpizza.co.kr로 연결되지만, 모바일로 접속하게 되면 http://m.mrpizza.co.kr 로 자동연결된다.

특히 우려되는 점은 모바일 악성코드가 감염되는 과정이 그동안 나타났던 스미싱, 단축 URL 등의 기법이 아닌 웹 사이트를 방문하는 과정에서 악성앱이 다운로드된다는 것으로, 실제 사용자가 위험을 인식하지 못하고 설치하는 경우 악성앱이 설치된다.

문제의 심각성은 공격의 대상이 PC 이용자와 모바일 이용자 모두 노리는 것으로, 기존 PC 이용자가 접속할 경우에는 공다팩이라는 공격도구를 이용해 악성코드에 감염시키게 되고, 모바일 사용자가 접속할 경우에는 .apk 파일을 다운로드하게 해 감염된다.

PC를 통해 감염된 악성파일을 분석한 결과, 금융 관련 공격이 파밍 기능과 백도어 기능을 가지고 있었다.

모바일 악성앱 파일을 분석결과 일부 유틸을 통해 공격자 서버로 전송하는 IP 정보를 확인했으며 해당 위치를 추적한 결과, 아파치 서버를 운영하는 모습을 확인했다고.

빛스캔 측은 "서버가 운영된다는 것은 그 해당 페이지로 감염자의 정보를 받는 관리 페이지로 판단해 하위 URL까지 추적한 결과 감염된 사용자의 정보가 관리되고 있는 모습을 확인했다"고 설명했다.

빛스캔은 "공격자 서버에 로그인해 수집된 정보를 확인한 결과 접속자 현황, SMS 송수신 등, 모바일 장비에서 주고받는 데이터를 확인할 수 있는 로그를 전반적으로 관리하는 모니터링 페이지가 존재했다"며, "여기에는 특히, SMS로 전송받는 데이터를 수집되고 있었으며, 국내 인터넷 뱅킹에서 사용되는 SMS 인증 문자, 제품 구매 안내 문자 등 다양한 정보가 공격자 서버로 실시간으로 수집되고 있는 정황 또한 확인됐다"고 말했다.


SMS(문자메세지)를 통해 유출된 정보는 사용자의 사적인 대화나 아이디, 비밀번호 재발급시 임시적으로 발급되는 코드와 계좌이체, 누적금액, 카드사 정보 등이 포함되어 있었으며 발송되었을 시 IP 주소까지 나타나 있었다.

공격자는 이런 정보를 바탕으로 실제 모바일 악성코드에 감염된 사용자의 공인인증서 비밀번호, 인터넷뱅킹 보안카드 등록처리를 하는 등 실질적인 공격에 악용할 가능성이 높다고 보여진다.

예전까지는 웹사이트를 통한 악성코드 감염의 대상이 PC를 주로 대상으로 삼았지만, 이제는 모바일 특히 안드로이드 운영체제로 전환된다는 점에서 다음과 같은 심각한 상황이 발생할 가능성이 높아지고 있다.

- 국내에서는 안드로이드 운영체제의 점유율이 iOS나 기타 모바일 운영체제보다 훨씬 많은 상황이기 때문에, 보안 관련된 이슈가 발생한다면 꽤 심각한 상황을 초래할 가능성이 높다. 특히 안드로이드는 파편화(Fragmentation)가 심각하기 때문에 취약점 발생시 각 개발사가 업데이트를 개별적으로 제공해야 하므로 적시에 업데이트하기 어려운 부분이 있다. 또한 하위 운영체제를 사용하는 비율도 높은 만큼 업데이트를 최신으로 유지하기 어려운 상황이라는 점도 모바일 악성코드가 유포되기에 좋은 환경이다.

- 웹을 통한 감염을 예방하기 위해서 구글은 스탑배드웨어라는 정책을 통해 크롬 및 사파리 브라우저에서 악성코드를 유포하는 사이트의 방문을 예방하고, 심각성을 알리는 기능을 제공하고 있다. 하지만, 모바일 운영체제에서는 아직 이런 보안 기능이 제공되지 않아 실제적으로 이런 감염을 예방하거나 차단할 수 있는 효과적인 방안이 아직 없는 상태다. 다만, 구글 검색에서 검색 결과에서만 일부 제공하고 있다.

빛스캔은 이런 징후는 지난 3월 13일 빛스캔 PCDS에 의해 발견된 자동화 공격도구 공다팩(Gondad pack)의 내부에서 스마트 폰을 감염시키기 위한 움직임이 사전에 포착됐다고 말했다.

빛스캔 측은 "당시 상황을 요약해보면 국내 특정 웹사이트를 통한 악성코드 유포시 등장했으며 1~2시간 정도 짧은 시간 동안 유포하고 사라진 것으로 관찰되었고, 이러한 정황을 종합해봤을 때 모바일 악성코드를 감염시키기 위한 테스트 기간으로 판단됐으며 얼마 지나지 실전 적용될 것으로 예상한 바 있다"고 밝혔다.

빛스캔 전상훈 이사는 스마트폰 사용자들은 안드로이드의 보안 기능을 끄지 말 것을 주문하면서, "다운로드된 apk의 실행이나 설치하면 안된다"고 말했다.

전상훈 이사는 "공격자는 초기 실험 단계에서 운용 모듈을 준비한 상태로 추정되며, 다음 순서가 바로 공격코드 출현인데, 지난주 조용했던 이유는 여러가지를 준비하고 있는 것으로 보인다"고 설명했다.

전상훈 이사는 "이렇게 안드로이드나 사파리 공격코드가 실전에 적용된다면 보안 패치도 없는 안드로이드는 안전이 없는 세상이 될 것"이라고 경고했다. editor@itworld.co.kreditor@itworld.co.kr


2014.04.01

PC와 스마트폰을 함께 노리는 사이버 공격 등장...빛스캔

편집부 | ITWorld
빛스캔은 최근 PC와 스마트폰 사용자를 함께 노리는 공격을 포착했다고 밝혔다.

빛스캔 측은 "3월 22일 미스터피자 모바일 웹사이트에서 공다팩과 함께 모바일 운영체제인 안드로이드만을 노린 악성앱(.apk)이 동시에 유포되는 상황을 포착했다"며, "추가 분석 결과, 공격자의 서버로 감염된 모바일 사용자의 SMS와 같은 정보가 전송되고, 이를 관리하는 모습도 찾아냈다"고 말했다.


빛스캔에 따르면, PC 사용자가 해당 사이트에 방문하면 http://www.mrpizza.co.kr로 연결되지만, 모바일로 접속하게 되면 http://m.mrpizza.co.kr 로 자동연결된다.

특히 우려되는 점은 모바일 악성코드가 감염되는 과정이 그동안 나타났던 스미싱, 단축 URL 등의 기법이 아닌 웹 사이트를 방문하는 과정에서 악성앱이 다운로드된다는 것으로, 실제 사용자가 위험을 인식하지 못하고 설치하는 경우 악성앱이 설치된다.

문제의 심각성은 공격의 대상이 PC 이용자와 모바일 이용자 모두 노리는 것으로, 기존 PC 이용자가 접속할 경우에는 공다팩이라는 공격도구를 이용해 악성코드에 감염시키게 되고, 모바일 사용자가 접속할 경우에는 .apk 파일을 다운로드하게 해 감염된다.

PC를 통해 감염된 악성파일을 분석한 결과, 금융 관련 공격이 파밍 기능과 백도어 기능을 가지고 있었다.

모바일 악성앱 파일을 분석결과 일부 유틸을 통해 공격자 서버로 전송하는 IP 정보를 확인했으며 해당 위치를 추적한 결과, 아파치 서버를 운영하는 모습을 확인했다고.

빛스캔 측은 "서버가 운영된다는 것은 그 해당 페이지로 감염자의 정보를 받는 관리 페이지로 판단해 하위 URL까지 추적한 결과 감염된 사용자의 정보가 관리되고 있는 모습을 확인했다"고 설명했다.

빛스캔은 "공격자 서버에 로그인해 수집된 정보를 확인한 결과 접속자 현황, SMS 송수신 등, 모바일 장비에서 주고받는 데이터를 확인할 수 있는 로그를 전반적으로 관리하는 모니터링 페이지가 존재했다"며, "여기에는 특히, SMS로 전송받는 데이터를 수집되고 있었으며, 국내 인터넷 뱅킹에서 사용되는 SMS 인증 문자, 제품 구매 안내 문자 등 다양한 정보가 공격자 서버로 실시간으로 수집되고 있는 정황 또한 확인됐다"고 말했다.


SMS(문자메세지)를 통해 유출된 정보는 사용자의 사적인 대화나 아이디, 비밀번호 재발급시 임시적으로 발급되는 코드와 계좌이체, 누적금액, 카드사 정보 등이 포함되어 있었으며 발송되었을 시 IP 주소까지 나타나 있었다.

공격자는 이런 정보를 바탕으로 실제 모바일 악성코드에 감염된 사용자의 공인인증서 비밀번호, 인터넷뱅킹 보안카드 등록처리를 하는 등 실질적인 공격에 악용할 가능성이 높다고 보여진다.

예전까지는 웹사이트를 통한 악성코드 감염의 대상이 PC를 주로 대상으로 삼았지만, 이제는 모바일 특히 안드로이드 운영체제로 전환된다는 점에서 다음과 같은 심각한 상황이 발생할 가능성이 높아지고 있다.

- 국내에서는 안드로이드 운영체제의 점유율이 iOS나 기타 모바일 운영체제보다 훨씬 많은 상황이기 때문에, 보안 관련된 이슈가 발생한다면 꽤 심각한 상황을 초래할 가능성이 높다. 특히 안드로이드는 파편화(Fragmentation)가 심각하기 때문에 취약점 발생시 각 개발사가 업데이트를 개별적으로 제공해야 하므로 적시에 업데이트하기 어려운 부분이 있다. 또한 하위 운영체제를 사용하는 비율도 높은 만큼 업데이트를 최신으로 유지하기 어려운 상황이라는 점도 모바일 악성코드가 유포되기에 좋은 환경이다.

- 웹을 통한 감염을 예방하기 위해서 구글은 스탑배드웨어라는 정책을 통해 크롬 및 사파리 브라우저에서 악성코드를 유포하는 사이트의 방문을 예방하고, 심각성을 알리는 기능을 제공하고 있다. 하지만, 모바일 운영체제에서는 아직 이런 보안 기능이 제공되지 않아 실제적으로 이런 감염을 예방하거나 차단할 수 있는 효과적인 방안이 아직 없는 상태다. 다만, 구글 검색에서 검색 결과에서만 일부 제공하고 있다.

빛스캔은 이런 징후는 지난 3월 13일 빛스캔 PCDS에 의해 발견된 자동화 공격도구 공다팩(Gondad pack)의 내부에서 스마트 폰을 감염시키기 위한 움직임이 사전에 포착됐다고 말했다.

빛스캔 측은 "당시 상황을 요약해보면 국내 특정 웹사이트를 통한 악성코드 유포시 등장했으며 1~2시간 정도 짧은 시간 동안 유포하고 사라진 것으로 관찰되었고, 이러한 정황을 종합해봤을 때 모바일 악성코드를 감염시키기 위한 테스트 기간으로 판단됐으며 얼마 지나지 실전 적용될 것으로 예상한 바 있다"고 밝혔다.

빛스캔 전상훈 이사는 스마트폰 사용자들은 안드로이드의 보안 기능을 끄지 말 것을 주문하면서, "다운로드된 apk의 실행이나 설치하면 안된다"고 말했다.

전상훈 이사는 "공격자는 초기 실험 단계에서 운용 모듈을 준비한 상태로 추정되며, 다음 순서가 바로 공격코드 출현인데, 지난주 조용했던 이유는 여러가지를 준비하고 있는 것으로 보인다"고 설명했다.

전상훈 이사는 "이렇게 안드로이드나 사파리 공격코드가 실전에 적용된다면 보안 패치도 없는 안드로이드는 안전이 없는 세상이 될 것"이라고 경고했다. editor@itworld.co.kreditor@itworld.co.kr


X