오늘날 맬웨어의 진화과정에는 일정한 패턴이 있다고 여겨진다. 우선 기본적인 기능만 있고 악성활동은 거의 없이 조용히 작동하는 맬웨어가 주로 트로이목마의 형태로 등장한다. 이 초기 악성코드는 배포되고 얼마 지나지 않아 여러 안티바이러스 업체에게 포착되긴 하지만 아직까지는 별다른 주목을 받지 못하는 잠재적 악성코드에 불과할 뿐이다.


시간이 지나고 나면 해당 트로이목마는 추가 기능을 갖추고 본격적인 위해를 가할 수 있게 되며 마지막 단계에서는 대규모 공격이 개시됨에 따라 수천 대의 기기가 감염되고 트로이목마가 본래 기획된 행동을 개시한다. 얼마나 큰 피해가 야기되는지는 트로이목마의 구체적인 유형에 따라 달라지는데 이는 수백 달러에 달하는 돈을 뜯어내는 랜섬웨어가 될 수도 있고 신용카드라든지 스파이툴을 통해 개인정보를 탈취하는 뱅킹트로이목마(banking trojan)가 될 수도 있다.



Asacub는 위와 같은 단계별 진화과정을 단적으로 보여주는 사례로 처음에는 단순한 피싱프로그램이었지만 이후 강력한 기능을 갖춘 뱅킹트로이목마로 진화했다. 이러한 Asacub보다 더욱 흉악하다고 할 수 있는 악성코드가 바로 Acecard다. Acecard 안드로이드 뱅킹트로이목마 계열 악성코드로 다른 뱅킹트로이목마와 마찬가지로 모바일 금융어플리케이션의 인터페이스에 자체 피싱 입력창을 덮어씌움으로써 사용자로 하여금 카드정보를 입력하도록 유도한다. 사용자가 입력완료 등의 기능을 실행하면 입력된 데이터가 탈취되며 악성코드 제작자 측에서는 카드에서 자기네 계좌로 돈을 빼돌리거나 해당 개인정보를 제3자에게 매각할 수 있다.


Acecard가 특히 돋보이는 이유는 우선 일반적인 뱅킹트로이목마가 고작 몇몇 뱅킹 어플리케이션만 복제 가능한 데 비해 30종에 달하는 은행 및 결제서비스를 복제할 수 있다는 점에 있다. 특히 중앙 서버로부터 별도의 명령을 부여받으면 사실상 모든 종류의 어플리케이션을 복제할 수 있기 때문에 실제로 공격대상이 되는 앱은 훨씬 많아질 수 있다. 아울러 Acecard의 복제대상이 뱅킹어플리케이션에 국한되지 않는다는 점도 위험하다. Acecard는 페이스북, 트위터, 인스타그램 등 모바일 소셜네트워크앱 그리고 왓스앱, 스카이프 등 메신저를 복제할 수 있고 페이팔과 구글 지메일 계정까지 흉내낼 수 있으며 특히 구글플레이스토어와 구글플레이뮤직에 대해서까지 피싱창을 구현할 수 있다.




Acecard는 일반적인 이메일 스팸으로도 배포되지만 플래시 등 유용한 유틸리티로 위장할 수도 있다. 참고로 안드로이드용 플래시는 2012년 이미 지원이 중단됐기 때문에 현재 정식으로 서비스가 제공되는 안드로이드 플래시 플레이어는 존재하지 않는다. 또한 구글플레이스토어를 통해 Acecard를 다운받는 트로이목마도 발견됐다. Acecard는 2014년 2월 처음 발견될 당시만 해도 특별한 악성행동을 보이진 않았지만 1년 반이 지나면서 신기능이 추가됨에 따라 실질적인 위협으로 거듭났다. 카스퍼스키 연구진은 Acecard 변종을 10종 넘게 발견했으며 각 버전은 더욱 강력한 기능을 갖춰 나가고 있다. 특히 카스퍼스키 선임맬웨어분석가 Roman Unuchek은 최근 변종을 두고 "현존 최악의 위협"으로까지 평가했다. Acecard의 본격적인 공격은 2015년 5월 시작됐으며 9월에 이르기까지 6천 명이 넘는 사용자가 공격에 노출됐다. Acecard는 호주에서 뱅킹 사이버공격이 급증한 원인이며 러시아, 독일, 오스트리아, 프랑스에서도 피해사례가 속출했다. Acecard 배후세력은 러시아어 구사자로 추정된다.




모바일 랜섬웨어 방지요령


1. 구글플레이와 같은 공식 채널을 통해서만 어플리케이션 설치. 안드로이드 보안설정을 통해 알지 못하는 출처를 통한 앱 설치를 차단해야 한다.


2. 펌웨어와 어플리케이션을 주기적으로 업데이트한다. 앱의 경우 자동 업데이트가 가능하지만 시스템은 수동으로 업데이트를 직접 해야 한다.


3. 강력한 보안솔루션 사용. 맬웨어는 구글플레이와 같은 공식채널에도 잠입할 수 있으며 미식별 취약점을 파고드는 취약점악용도 가능하기 때문에 별도의 보안솔루션이 필요하다.


<참고: 카스퍼스키 안티바이러스 상세정보>




John Snow, Android trump card: Acecard, 2. 22. 2016.

https://usblog.kaspersky.com/acecard-android-trojan/6745/


번역: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.05 15:31

위로가기