Home > 전체기사

러시아 해킹 포럼에 등장한 새 안드로이드 멀웨어, 소바

  |  입력 : 2021-09-13 15:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아 해커들의 모임 공간에서 새로운 광고가 나타나기 시작했다. 이름은 소바이며, 개발이 완료될 경우 뱅킹 트로이드목마의 정의를 새롭게 쓸 수 있을 정도의 가능성을 보여주고 있다. 아직은 개발 중인 상태인데, 완료되었을 경우 안드로이드 생태계를 크게 위협할 수 있어 보인다.

[보안뉴스 문가용 기자] 다크웹에 새로운 안드로이드 뱅킹 트로이목마가 등장했다. 이름은 소바(SOVA)라고 하는데, 이는 러시아어로 ‘올빼미’라는 뜻이다. 소바는 아직 개발이 완료되지는 않았지만 꽤나 위협적인 존재가 될 가능성이 높아 보인다. 디도스, 중간자, 랜섬웨어 공격이 전부 추가될 예정이기 때문이다. 이미 오버레이 공격과 키로깅 기능은 갖춰져 있다.

[이미지 = utoimage]


보안 업체 스레트패브릭(ThreatFabric)의 연구원들은 소바의 개발자가 다크웹에서 공격적인 광고 활동을 펼치는 중이라고 한다. “8월쯤에 처음 등장한 아직 ‘약속만 무성한’ 멀웨어라고 볼 수 있다”고 스레트패브릭은 자사 블로그를 통해 설명했다. “이 약속이 전부 지켜진다면, 소바는 사용자들에게 가공할 피해를 입힐 수 있습니다.”

개발의 방법론에 있어서도 소바는 꽤나 독특한 모습을 보여준다. 안드로이드 개발의 미래를 담당하게 될 것이라고 많은 전문가들이 예상하고 있는 프로그래밍 언어 코틀린(Kotlin)으로 전부다 만들어졌기 때문이다. 미래의 언어로 만들어진 종합 위협 선물세트라니, 한 동안 안드로이드 생태계의 왕좌에 군림할 가능성도 무시할 수 없다고 한다. 물론 개발자가 약속하고 있는 모든 기능들이 다 포함된다면 말이다. 하지만 소바의 통신 기능은 오픈소스인 레트로핏(RetroFit)으로 만들어져 있다. 레트로핏은 정상적으로 사용 가능한 오픈소스 프로젝트이다.

각종 기능을 약속하고 있지만 소바가 뱅킹 트로이목마로 분류되는 이유는 오버레이 및 키로깅 공격이 가능하기 때문이다. 일반 뱅킹 트로이목마들도 사용자들이 흔히 사용하는 은행 웹사이트 앱이 실행될 때, 화면에 투명한 막을 하나 더 까는 오버레이 공격을 자주 실시한다. 투명한 막을 앱 화면 위에 가져다 놓으면 사용자들은 자신들이 평소에 사용했던 앱 화면을 눈으로 보고 있다는 착각을 하지만 사실은 그 화면에서 입력하는 정보들은 이 투명한 막을 통해 공격자들로 전달된다. 주로 크리덴셜 정보가 이런 식으로 공격자들 손에 넘어간다.

소바의 경우 모바일 뱅킹 앱만이 아니라 암호화폐 지갑과 각종 온라인 쇼핑 애플리케이션들에도 오버레이 공격을 실시할 수 있다는 차별성을 가지고 있다. 대부분 미국과 스페인에서 사용자들을 많이 거느린 서비스들이다. 러시아의 서비스들도 일부 발견됐다. 그 외에 안드로이드의 접근성 서비스를 악용하기도 한다. 이를 통해 권한을 확보하는 기능은 기존 뱅킹 트로이목마에서도 발견되었던 것이다. 소바 개발자는 이를 통해 이중 인증도 뚫어낼 수 있도록 소바를 강화하겠다고 약속하고 있다.

소바에는 다른 뱅킹 트로이목마에 없는 기능이 하나 있는데, 세션 쿠키를 탈취하는 것이다. 이 기능이 있어 소바는 사용자가 로그인 한 상태의 뱅킹 세션 자체를 훔칠 수 있게 된다. 때문에 크리덴셜을 훔치는 데 실패하더라도 로그인 한 것과 같은 효과를 낼 수 있는 것이다. 소바 개발자의 치밀함을 엿볼 수 있는 부분이다. 소바는 지메일과 페이팔과 같은 유명 웹사이트에서도 세션 쿠키를 훔친다고 분석됐다.

현재 버전의 소바는 클립보드도 조작할 수 있다. 사용자들이 클립보드에 복사해 둔 정보를 공격자가 원하는 정보로 바꿔치기 할 수 있다는 것이다. 이는 암호화폐 지갑 주소를 조작해 사용자가 송금한 돈이 범인들의 지갑으로 갈 수 있도록 하는 공격에 주로 사용되는 기법이다. 암호화폐 지갑 주소가 너무 어렵기 때문에 사용자들은 대부분 복사하기와 붙여넣기 기능을 활용해 거래를 진행한다. 소바가 훔치는 암호화폐는 바이낸스, 비트코인, 이더리움, 트론이다.

소바가 개발자가 약속한 대로 완성되고 여러 공격자들의 인기 도구로 자리매김 한다면 뱅킹 트로이목마의 정의 자체가 바뀔 수도 있다. 소바처럼 각종 공격 기능까지 갖춘 뱅킹 트로이목마가 시장에서 대세가 될 수 있다. 이는 안드로이드 생태계에 있어 좋은 소식일 수 없다. 예전 뱅킹 멀웨어로서 처음 등장한 트릭봇(TrickBot)의 경우 범죄자들 사이에서 발생하는 다양한 필요를 수행하면서 진화를 거듭하다가 결국 각종 멀웨어의 침투를 돕는 다재다능 로더로서 악명을 떨친 바 있다.

3줄 요약
1. 러시아의 올빼미 소바, 뱅킹 트로이목마로서 가장 큰 기대를 받고 있는 멀웨어.
2. 기존 트로이목마가 가진 기능들은 물론 새로운 공격 기법까지 갖출 예정.
3. 트릭봇의 예처럼 뱅킹 트로이목마로 시작됐지만 전혀 다른 공격 도구가 될 수도 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)