Home > 전체기사
새 안드로이드 멀웨어 닙, 개발자들의 남다른 적극성 드러내
  |  입력 : 2019-11-22 15:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
백지에서부터 시작한 멀웨어...5개월 동안 네 가지 버전으로 출시돼
최근 버전에는 아누비스 멀웨어의 소스코드까지 들어 있어...스파이웨어 될 수도


[보안뉴스 문가용 기자] 안드로이드에서 활동하는 새로운 모바일 뱅킹 멀웨어가 등장했다. 이름은 닙 혹은 그닙(Gnip)으로, 개발자들이 의욕적으로 만들어 운영하고 있는 것으로 보인다. 개발에 걸린 총 시간은 5개월도 되지 않는 것으로 보이는데, 이미 4가지 서로 다른 버전이 돌아다니고 있을 정도다. 이중에는 아누비스(Anubis)라는 트로이목마의 소스코드와 비슷한 부분을 포함한 버전도 있었다.

[이미지 = iclickart]


닙이 처음 발견된 건 2019년 10월 말 경이었다. 하지만 최초로 개발되기 시작한 건 2019년 6월이라고 보안 업체 쓰레트패브릭(ThreatFabric)은 설명한다. 쓰레트패브릭은 이 멀웨어를 가장 먼저 발견한 업체다. “닙은 원래 백지에서부터 개발이 시작되었습니다. 하지만 점진적인 업데이트를 통해 기능적으로 풍부해졌고, 최근에는 아누비스의 기능도 일부 가져왔더군요. 개발자들이 그 동안 나왔던 멀웨어들의 좋은 점들을 적극 연구하고 자신들의 작품에 적용하는 것으로 보입니다.”

그런 식으로 최근에 덧붙여진 기능은 2중 화면 오버레이(two-screen overlay)다. 이 기능을 활용할 경우 공격자들은 피해자의 거래 은행인 것처럼 손쉽게 위장할 수 있게 된다. “피해자가 모바일 뱅킹 앱을 열면, 닙 멀웨어가 오버레이 창을 C&C 서버로부터 가져옵니다. 그러면 실제 앱 화면 위에 가짜 오버레이 화면이 뜹니다. 똑같이 생긴 가짜가 진짜를 가리는 겁니다. 그러면서 사용자에게 로그인을 하라고 시키면서 크리덴셜을 훔치죠. 신용카드 번호를 훔치기도 하고요.”

이런 닙은 네 번의 변신을 이뤄낸 것으로 보인다. 매번 꽤나 중요한 업그레이드가 이뤄졌다. “제일 처음은 ‘구글 플레이 인증기(Google Play Verificator)’라는 가짜 앱의 형태였습니다. 누군가 다운로드 하면 문자 메시지 등을 가로채는 멀웨어로 둔갑해 정보를 빼돌리는 식이었습니다. 그러다 8월 두 번째 버전이 나타났습니다. 이번에는 어도비 플래시 플레이어(Adobe Flash Player)를 흉내 냈고, 은행 및 뱅킹 행위와 관련된 기능들이 덧붙었습니다.”

이 때부터 오버레이 기능이 추가됐다. “이 버전의 닙은 접근성(Accessibility) 기능을 악용함으로써 디폴트 문자 앱이 될 수도 있었고, 각종 소셜 및 유틸리티 앱을 흉내 내어 오버레이를 화면에 깔 수도 있었습니다. 구글 플레이, 페이스북, 왓츠앱, 크롬, 스카이프, 인스타그램, 트위터와 똑같은 화면을 넣을 수 있었죠.”

그 후 곧바로 세 번째 닙이 출현했다. 페이로드 난독화가 강화된 모습이었다. 또한 두 가지 오버레이를 따로따로 처리하는 기능도 생겼다. 카드 정보를 탈취하기 위한 오버레이와 특정 뱅킹 앱들을 위한 오버레이가 구분된 것이다. 여기에 스냅챗과 바이버와 같은 서비스와 똑같은 오버레이도 더해졌다.

네 번째 닙은 이번 달에 처음 탐지됐는데, 위에서 말한대로 아누비스라는 이전 트로이목마에서 일부 소스코드가 차용된 모습이었다. 아누비스 운영자로 보이는 인물은 올해 초 체포되었으며, 그 과정에서 소스코드가 유출됐었다. 이 버전의 닙은 장비에서 최초로 가동되면서 먼저 자신의 아이콘을 숨긴다. 사용자가 찾아낼 수 없게 하기 위해서다. 그러면서 접근성 서비스에 대한 접근 권한을 요청한다. 사용자가 허용할 경우, 닙은 스스로에게 전화를 걸고 문자를 보낼 권한을 부여한다. 그리고 오버레이 공격을 준비한다.

네 번째 버전의 특징은 소셜 미디어에 대한 오버레이 공격 옵션을 제거했다는 것이다. 대신 은행 쪽에 집중 투자했다. 그것도 스페인의 은행에만 공격이 들어가도록 조정됐다. 다음 일곱 가지 은행에 대한 오버레이 공격이 가능한 상태다.
1) Caixa Bank, 2) Bankinter, 3) Bankia, 4) BBVA, 5) EVO Banco, 6)Kutxabank, 7) Santander

쓰레트패브릭은 “앞으로 더 많은 아누비스의 기능들이 추가될 것으로 예상된다”고 점친다. “백커넥트 프록시(back-connect proxy) 기능이나, 화면 스트리밍 기능, 원격 접근 기능 등이 추가되지 않을까 합니다. 즉 점점 더 스파이웨어로서의 모양을 완전히 갖출 것이라고 보고 있습니다. 이전 버전에서 보여주었던 소셜 미디어 오버레이 공격 기능이 다시 돌아올 가능성도 낮지 않고요.”

공격이 스페인 은행에서 그칠 것 같지도 않다. “이들이 공격에 사용하는 요청 주입 경로 등을 검토하면 ‘국가 코드’라는 요소가 활용되었다는 걸 알 수 있습니다. 특정 코드에 소속된 조직들만 표적으로 삼겠다는 것이죠. 하지만 반대로 말하면 간단히 코드만 바꿔서 다른 나라도 공격할 수 있다는 뜻입니다. 5개월 만에 네 가지 버전을 낼 정도로 적극적인 공격자라면, 국가별 공격 계획을 체계적으로 세워서 차례로 공략하고 있을 가능성도 있습니다.”

3줄 요약
1. 새로운 안드로이드 멀웨어 등장. 이름은 닙(혹은 그닙).
2. 5개월 만에 네 가지 버전 나왔을 정도로 개발자들 적극적임.
3. 최근 버전의 경우 스페인 은행만을 노리고 있음. 하지만 총구가 바뀌는 건 순간.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)