세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
안드로이드 환경에서 텔레그램 이용해 기기 통제하는 히어로랫
  |  입력 : 2018-06-20 14:54
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
원격 통제 멀웨어, C#과 자마린 통해 작성돼...독특한 조합
소스코드 공개된 이후 다양한 변종 시장에서 거래되기 시작


[보안뉴스 문가용 기자] 보안 업체 이셋(ESET)에서 새로운 안드로이드 원격 접근 트로이목마(RAT)를 발견했다. 텔레그램 메신저 앱의 봇 기능을 활용한 것이 특징이라고 한다. 이셋은 이 RAT에 히어로랫(HeroRAT)이라는 이름을 붙였다.

[이미지 = iclickart]


이셋의 분석 결과에 따르면 이 멀웨어는 최소한 2017년 8월부터 활동을 시작한 것으로 보이며, 2018년 3월부터는 소스코드가 공개되었다고 한다. 텔레그램 내 해커들이 모인 여러 채널들을 통해 확산되고 있으며, 따라서 수많은 변종들이 생산되고 있는 상태다.

소스코드가 무료로 돌아다니고 있지만, 일부 변종은 암시장에서 판매되고 있다. 기능에 따라 거래 가격이 달라지며, 텔레그램 채널 내에서 주로 거래가 가능하다. 브론즈는 25달러, 실버는 50달러, 골드는 100달러다. 일단 구매를 하면 사용법 동영상도 제공된다.

이셋은 “판매되고 있는 변종이 유출된 소스코드를 바탕으로 만들어진 건지, 아니면 누군가 순수하게 처음부터 제작한 오리지널 멀웨어인지는 확실하지 않다”고 말한다.

히어로랫은 기존 텔레그램 기반의 안드로이드 RAT와는 조금 다르다.
1) C#으로 백지 상태에서 개발됐다.
2) 개발에 사용된 프레임워크는 자마린(Xamarin)이다.

이셋은 “이 두 가지 특성이 한 가지 안드로이드 멀웨어에서 동시에 등장하는 건 매우 특이한 일”이라고 설명한다. “대부분의 안드로이드용 트로이목마는 표준 안드로이드 자바로 만들어지죠.”

게다가 멀웨어 제작자들은 기존에 사용하던 프로그래밍 언어를 텔레그램 프로토콜에 적용시킨 것도 특이한 일이다. “기존 RAT들은 텔레그램의 봇 API를 사용하거든요. 하지만 히어로랫 제작자들의 경우 텔레샤프(Telesharp)라는 라이브러리를 사용했습니다. C#을 가지고 텔레그램 봇을 만드는 데 이 라이브러리를 이용한 것이죠.” 또한 감염시킨 장비와의 통신은 전부 텔레그램 프로토콜을 통해 이뤄진다.

그 외에도 여러 변종들이 서드파티 앱스토어나 소셜 미디어, 또 다른 메신저 앱들을 통해 확산되고 있다. 무료 비트코인 채굴기라거나 무료 인터넷망 공급 소프트웨어, 혹은 더 많은 팔로워 수와 같은 가짜 광고를 통해 사람들이 이 멀웨어를 설치하도록 유혹한다.

현재 이 악성 프로그램은 모든 안드로이드 버전과 호환된다. 다만 설치하는 사람이 여러 가지 사항들을 허용해야만 한다. 이 중에는 기기 관리자 권한을 요구하는 내용도 포함돼 있다. 사용자가 직접 이런 내용들을 허락하면 변종의 종류에 따라 다양한 기능을 발휘하기 시작한다. 이셋에 따르면 파일을 삭제하거나 화면을 잠그고, 비밀번호를 변경하는 등의 기능을 가진 변종들이 존재한다고 한다.

설치가 완료되고 실행되면 팝업창이 하나 뜬다. 영어나 페르시아어로 되어 있는 창이다. 내용은 “소프트웨어가 실행되지 않으며, 그러므로 언인스톨 되어야 한다”는 것이다. 그런 후 잠시 있으면 삭제가 완료되었다는 메시지가 나타난다. 앱의 아이콘도 사라진다.

그러나 멀웨어가 정말 사라진 것은 아니다. 배경에서 계속해서 실행되고 있다. 공격자는 텔레그램의 봇 기능을 활용할 수 있게 되며, 장비 통제권을 얻게 된다. 공격자는 문자 메시지를 가로채고 연락처 정보를 훔치고, 오디오 및 비디오 자료를 기록할 수 있게 된다. 또한 위치 정보와 기기의 환경설정 정보를 훔치는 것도 가능하게 된다.

이러한 각종 공격 기능들을 클릭 가능한 버튼들을 통해 발휘할 수 있게 된다. 즉 공격자가 누구든 사용이 매우 간편하다는 것이다. “소스코드가 유출됐기 때문에 앞으로 시장에 이런 변종이 계속해서 등장할 것으로 보입니다.”

히어로랫에 당하지 않으려면 “반드시 구글 공식 스토어에서만 앱을 구하고, 앱의 권한 요청 사항을 자세하게 읽어야 한다”고 이셋은 권장한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)