Home > 전체기사

텔레그램 활용한 안드로이드용 트로이목마 발견

  |  입력 : 2018-03-22 11:21
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
텔레그램의 API 통해 C&C와 통신...네트워크 보안 장비 우회
이란 연루된 것 같은 증거물 나와...현재까지 2293명 감염


[보안뉴스 문가용 기자] 텔레그램(Telegram) 메신저의 봇 API(Bot API)를 어뷰징하는 안드로이드 트로이목마가 새롭게 발견됐다. 이 새 트로이목마는 C&C 서버와 통신하고 데이터를 빼돌리는 데에 이 유명한 메신저의 API를 활용한다고 보안 업체 팔로알토 네트웍스(Palo Alto Networks)가 발표했다.

[이미지 = iclickart]


이 트로이목마의 이름은 텔레랫(TeleRAT)으로, 이란에서 발생했으며 마찬가지로 이란의 특정 인물이나 단체들을 노린 것으로 보인다. 이전에 등장했었던 IR랫(IRRAT) 트로이목마와 많은 면에서 비슷한데, 이 IR랫 역시 텔레그램의 봇 API를 악용해 C&C 서버와 통신했었다.

IR랫의 경우 여전히 활동하고 있는 것으로 알려져 있는데, 현재는 텔레그램과 관련된 합법적인 앱인 것처럼 가장해 유포되고 있다고 한다. 이 앱을 설치하면 기기의 SD카드 내에 여러 파일들이 생성된다. 그리고 이 파일들은 업로드 서버로 전송된다. 파일 안에는 연락처 정보, 구글 계정 관련 정보, SMS 내역, 전면과 후면 카메라를 통해 찍힌 사진 등이 저장된다.

이번에 발견된 텔레랫도 비슷한 메커니즘으로 작동한다. 팔로알토에 따르면 이 트로이목마는 기기 내에 두 개의 파일을 생성한다고 한다. 하나는 기기와 관련된 다양한 정보들을 담는다. 시스템 부트로더 버전 번호, 메모리, 프로세서 코어 수 등이 여기에 포함된다. 또 다른 하나는 텔레그램 채널 한 개의 정보와 명령어들을 저장하고 있다.

성공적으로 피해자의 기기에 설치된 후 텔레랫은 제일 먼저 그 사실을 공격자들에게 전파한다. 텔레그램의 봇 API로 현재의 날짜와 시간이 담긴 메시지를 전달함으로써 이는 가능해진다. 또한 기기 배경에서 활동을 시작하는데, 특히 클립보드에 저장된 내용물을 주의 깊게 살핀다. 그리고 4.6초에 한 번씩 텔레그램 봇 API로부터 새로운 업데이트를 받아온다. 보통은 공격자들이 전달하는 새로운 명령들이다.

명령을 받은 트로이목마는 그 명령에 따라 여러 일을 실행한다. 연락처 정보, 위치 정보, 설치된 앱 목록 등을 수집하고 공격자들에게 보낸다. 클립보드 내용물도 보낸다. 충전과 관련된 상태 정보도 쓸모 있다. SMS를 받거나 보내기도 하며, 사진도 찍고, 전화를 받거나 하기도 한다. 전화기를 진동 상태나 묵음 상태로 만들 수도 있으며, 화면만 끄거나 일부 앱을 삭제할 수도 있다.

텔레랫은 텔레그램의 sendDocument API를 통하여 데이터를 전송하기도 한다. 이렇게 모든 통신을 텔레그램의 API를 통해 하기 때문에 네트워크 기반의 탐지 시스템은 전부 우회할 수 있다. 심지어 텔레그램 API를 통해 업데이트도 감행한다. getUpdates라는 메소드나 Webhook을 사용함으로써 이는 가능해진다. 전자는 봇으로 전달된 모든 명령어들을 열람할 수 있게 해주고 후자는 HTTPS URL로 업데이트를 우회시켜준다.

팔로알토는 봇마스터가 텔레랫을 실험하는 이미지를 찾아냈다고 주장한다. 실제로 실험 과정에서 빼낸 메시지들도 추가 증거로 확보하고 있다고도 설명을 추가했다. “코드 안에는 개발자가 사용하는 이름(username)도 포함되어 있습니다. 이를 통해 vahidmail67이라는 텔레그램 채널도 추적할 수 있었습니다. 그 채널에서는 어떤 RAT의 소스코드나 랜섬웨어 등이 광고되고 있더군요.”

그런데 왜 팔로알토는 이 트로이목마를 이란과 엮는 걸까? 이란 프로그래머들의 포럼에서 텔레그램 봇 제어 라이브러리에 대한 광고를 발견했기 때문이다. 또한 그 포럼에 자주 나타나는 개발자들이 사용하거나 만든 코드가 텔레랫 샘플에서 상당 부분 중복으로 나타나기도 한다. 물론 여기서 언급되는 포럼 자체는 이란 정부가 합법으로 인정한 곳이다. 하지만 실제 포럼 사용에 있어서 악의가 발견되고 있는 것이 이 포럼의 현주소다.

하지만 이러한 것들이 결정적인 증거가 되지는 못한다. 팔로알토 역시 특정 인물이나 단체를 명확하게 지적하지는 못하고 있다. “지금 단계에서 말할 수 있는 건 이란과 어떤 관계가 있다는 것뿐입니다.”

현재 IR랫과 텔레랫은 서드파티 안드로이드 앱 스토어에서 배포되고 있으며, 여러 이란 텔레그램 채널을 통해서도 확산되고 있다. 현재까지는 2293명의 사용자가 감염된 것으로 보이며, 이중 82%는 이란 내 전화번호를 소유하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)