Home > 전체기사
워너크라이의 후예 워너록커, 종합 선물 세트가 되어 등장
  |  입력 : 2019-07-03 16:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
랜섬웨어 기능에 정보 탈취 및 뱅킹 트로이목마 기능까지 결합돼
금융권, 미리부터 대비해야...단일 기능 가진 멀웨어 막는 것과 난이도 달라


[보안뉴스 문가용 기자] 새로운 랜섬웨어가 등장했다고 보안 전문가들이 경고하고 나섰다. 워너록커(WannaLocker)의 새 변종으로, 2년 전 세상을 떠들썩하게 했던 워너크라이(WannaCry) 랜섬웨어의 모바일 버전이라고 한다. 뿐만 아니라 스파이웨어, 원격 접근 툴, 뱅킹 트로이목마 기능까지도 더해져 보다 강력하다.

[이미지 = iclickart]


‘종합 선물 세트’로 변모한 워너크라이의 후예인 워너록커가 처음 발견된 건 브라질의 은행들과, 그 은행들의 안드로이드 사용자 고객들을 노린 대형 캠페인에서다. 보안 업체 어베스트(Avast)가 자사 블로그를 통해 7월 1일 처음 세상에 워너록커의 존재를 알렸다.

제일 먼저는 어베스트의 보안 전문가 니콜라소 크리사이도스(Nikolaso Chrysaidos)가 자신의 트위터 계정을 통해 “워너록커의 새로운 버전을 분석 중에 있는데, 1) 워너록커의 사용자 인터페이스, 2) 아미스 RAT(AhMyth RAT), 3) 공격자들이 자체 제작한 뱅킹 멀웨어가 합쳐진 것처럼 보인다”고 밝혔다.

이에 프랑스의 보안 전문가인 엘리오 알데르송(Elliot Alderson)가 트위터를 통해 “당신이 분석한 랜섬웨어는 사실 에스록커(SLocker)”라고 리트윗 했고, 크리사이도스는 “그게 그거임”이라고 답했다.

어베스트는 “모바일용 종합 선물 세트 버전으로 변모한 워너록커를 발견한 건 이번이 처음”이라고 블로그를 통해 경고하며, “텍스트 정보, 통화 목록, 전화번호, 신용카드 정보 등을 수집하는 기능도 가지고 있다”고 설명했다. “랜섬웨어보다 훨씬 더 큰 위험 요소가 등장한 것입니다.”

그러면서 어베스트는 “악성 링크를 대동한 피싱 공격이나 서드파티 앱 스토어를 통해 전파될 가능성이 가장 높다”고 추측하기도 했다.

한편 이번 워너록커에서 발견된 뱅킹 트로이목마 요소에 대해서도 어베스트는 설명하는 것을 잊지 않았다. “은행 고객들에게 가짜 인터페이스를 보여주면서, 현재 계좌에서 이상한 점이 발견됐으니 빨리 로그인 해서 확인하라고 채근합니다. 놀란 고객들이 크리덴셜을 입력하면 워너록커는 그 정보를 가지고 더 많은 정보를 수집합니다.”

이 시점에서 워너록커가 수집하는 정보는 다음과 같다.
1) 모바일 장비 생산자
2) 하드웨어 정보
3) 통화 목록
4) 문자 메시지
5) 전화번호
6) 전면부 카메라 사진 / 후면부 카메라 사진
7) 연락처 목록
8) GPS 위치 정보
9) 마이크로폰을 통해 입력된 오디오 데이터

최초의 워너록커가 발견된 건 2017년의 일로, 당시는 중국의 안드로이드 사용자들이 주요 표적이었다. 특히 게임 관련 포럼을 통해 빠르게 퍼져갔는데, 사용자의 장비만이 아니라 외부 저장소에 있는 데이터까지 암호화 해 백업을 통해 복구할 수 없도록 했다. 이번에 발견된 버전에도 파일 암호화 기능이 있긴 있는데, “아직 개발 중에 있는 것으로 보인다.”

“해커들은 점점 더 대담해지고 있고, 그 대담한 계획을 금방금방 실행에 옮길 정도로 빨라지고 있습니다. 덕분에 일반 사용자나 조직들은 더 큰 피해를 입게 되죠. 공격 한 번 한 번이 더 치명적으로 작용하기 시작했습니다.” 보안 업체 원스팬(OneSpan)의 보안 전문가인 윌 라살라(Will LaSala)의 설명이다.

“은행들은 현재 이런 종합적인 공격이 점점 확산되고 있다는 걸 알고 미리부터 대처법을 강구해야 합니다. 뱅킹 멀웨어가 단독으로 사용되는 것과, 랜섬웨어나 정보 탈취 기능이 복합적으로 작용하는 것과는 방어의 난이도가 다르거든요. 그러나 실제로는 많은 금융 기관들이 이 경고를 듣지 못하고 당할 것 같아서 안타깝습니다.”

3줄 요약
1. 워너크라이의 후예 워너록커의 새 변종 등장. 이번에는 랜섬웨어만이 아니다.
2. 정보 탈취 기능, 뱅킹 트로이목마 기능까지도 결합되어 있는 종합 선물 세트.
3. 랜섬웨어를 단독으로 막는 것도 힘든데 이런 복합적인 공격은 더 막기 힘듦.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)