Home > 전체기사 > 외신
천하의 구글을 괴롭히는 멀웨어, 조커
  |  입력 : 2020-01-15 10:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
다양한 변종, 다양한 난독화 기술...각종 기술을 때에 따라 혼합하기도
통신사 확인해 맞춤형 공격하는 특성도 가지고 있어...최근엔 스파이 기능 발휘


[보안뉴스 문가용 기자] 조커(Joker) 혹은 브레드(Bread)라는 멀웨어 때문에 구글이 여태까지 제거한 앱의 수가 1만 7천여 개에 달한다고 한다. 조커 멀웨어에 대한 분석 보고서 중 하나에서는 “조커 운영자는 해 아래 만들어진 거의 모든 난독화 및 은폐 기술을 사용해왔다”는 표현이 나오기도 한다. 구글과 조커의 숨바꼭질은 앞으로도 계속 진행될 것으로 예상된다.

[이미지 = iclickart]


하지만 싸움은 구글 쪽에 불리한 것처럼 보인다. 조커 멀웨어의 변종이 셀 수 없을 정도로 많고, 플레이 스토어의 방어 체계를 농락하려는 가짜 앱의 전략들도 다양하기 때문이다. 구글이 “서로 다른 전략을 사용하며, 서로 다른 통신사를 노리는 조커 멀웨어가 동 기간에 2~3개 이상 안드로이드 생태계에서 활동하는 건 상수”라고 표현할 정도다. “가장 많을 때난 동 기간에 23개의 앱들이 다양한 조커 패밀리에 감염된 채 구글 플레이에 제출되기도 했다”고 한다.

조커가 처음 등장한 건 2017년이지만 본격적으로 악명을 떨치기 시작한 건 2019년이다. 설치가 되면 피해자의 장비에서 문자 사기 공격을 하거나 WAP 청구서 사기 공격을 한다. 문자 사기 공격이란, 높은 비용이 발생하는 곳에 문자 메시지를 사용자 몰래 보내 비용을 발생시키는 것이고, WAP 청구서 사기는 피해자의 모바일 계정을 가지고 뭔가에 대한 지불을 하는 것이다. 즉 휴대폰 결재를 공격자 자신을 위해서 사용하는 것을 의미한다. “조커는 사기를 치는 과정 중에 사용자의 개입을 전혀 요구하지 않는다는 특징을 가지고 있기도 합니다.”

이 두 가지 사기 공격에 전문인 멀웨어는 조커 외에도 다수 존재한다. 하지만 조커가 구글의 관심을 받는 이유는 난독화와 은폐(클로킹) 기술 때문이다. “구글은 최근 플레이 스토어에 대한 보안을 강화하기 위해 새로운 정책을 마련했습니다. 그러자 조커 개발자 혹은 운영자들도 부지런히 움직이기 시작했습니다. 어딘가에 있는 구글 플레이 방어 체계의 구멍들을 노리고 스토어에 몰래 잠입하기 위해 여러 가지 방안을 마련하고 적용시켰습니다.” 구글 안드로이드 보안 팀의 알렉 구어틴(Alec Guertin)과 바딤 코토브(Vadim Kotov)의 설명이다.

예를 들어 조커가 현재까지 분석 엔진으로부터 문자열을 감추기 위해 동원한 기법은 다음과 같다.
1) 각종 표준 암호화(AES, 블로우피시(Blowfish), DES 등)
2) 각종 암호화의 혼용
3) 자체적으로 개발한 듯한 키 추출 기법들
“심지어 문자열 내 클래스마다 제각각의 키를 적용해 암호화시키는 변종을 보기도 했습니다. 꽤나 정성스러운 지독함입니다.”

하지만 때로는 이렇게 암호화 된 문자열들도 분석가들의 주목을 불필요하게 끌 때가 있다. “너무 많은 암호화가 발견되면, 더 수상해 보이죠. 분석가들이 주의하는 특징 중 하나입니다. 그래서 조커 운영자들은 암호화 되지 않은 문자열을 다른 방법으로 숨기기도 합니다. 코드나 문자열을 잘게 쪼개서 전송함으로써 백신 등을 피해가는 것도 그러한 방법 중 하나입니다. 정적 변수들을 통해 쪼개진 문자열을 조합하는데, 조커 버전들마다 분할하고 조합할 때 사용하는 색인을 달리합니다.”

일부 조커 변종들은 디리미터(delimiter)를 활용하기도 한다. 디리미터란 짧은 문자열의 일종으로 전략적인 부분에마다 삽입되어 키워드를 분할시킨다. 런타임 시 디리미터들이 삭제되면 키워드가 다시 정상적으로 나타난다.

그 외에도 조커 멀웨어가 분석가들을 회피하기 위해 기울이는 노력에는 다음과 같은 사례도 있다. “예를 들어 휴대폰 결재 사기를 친다고 했을 때, 사용자(피해자)가 와이파이를 비활성화 하도록 한다거나, 문자에 접근할 수 있도록 하는 등 일부 기능을 허용해주도록 하거나 특정 행위를 하도록 유도하는 게 일반적입니다. 하지만 이는 사용자가 공격을 눈치 채게 하는 계기가 되기도 됩니다.”

그래서 조커 앱들은 어떤 식으로 행동할까? “이를 해소하기 위해 조커는 다양한 기술을 활용합니다. 주로 자바 리플렉션(Java Reflection)이라는 기법을 여러 가지로 응용하는 편인데요, 런타임 때 복호화 된 문자열에 있는 리플렉트(Reflect) API를 호출하거나, 안드로이드의 네이티브 라이브러리에 저장된 문자열을 사용해 SMS API에 접근하기도 합니다.”

게다가 조커 앱들은 치후360(Qihoo360), 알리프로텍트(AliProtect), 섹셸(SecShell) 등 상업화 된 패커들을 다양하게 활용하는 모습도 보이고 있다.

“중요한 건 이 다양한 기법들을 계속해서 바꿔가면서 혼합해 사용한다는 겁니다. 1번 변종에서는 AES 암호화 알고리즘으로 문자열을 사용하면서 자바 리플렉션 기술을 활용했다면, 2번 변종에서는 정상 패커에 코드를 담아 디리미터와 같이 활용하는 식이죠. 따라서 방어자 입장에서는 적잖이 혼란스럽습니다.”

이런 난독화 및 클로킹 기술 외에도 조커를 눈에 띄게 하는 특성들 중에는 “통신사를 확인하는” 기능도 있다. “어떤 변종의 경우 통신사를 확인하고, 그에 맞는 설정 정보를 C&C로부터 가져옵니다. 즉 특정 통신사에 등록된 장비를 위한 공격이 따로 있다는 것이죠.”

그렇다면 피해자들은 어떻게 하다가 조커를 다운로드 받게 될까? “이 부분에서도 조커 운영자는 각고의 노력을 기울입니다. 리뷰를 가짜로 수없이 많이 등록하기도 하고, 버전 조작을 해서 처음에는 정상적으로 작동하는 앱을 설치했다가 악성 버전으로 바꾸기도 합니다. 그렇기 때문에 조커에 감염된 앱에서 나타나는 한 가지 특성이 있는데, 실질적인 기능이 텅텅 비어있다는 겁니다. 아니면 다른 인기 높은 구글 앱을 그대로 복제한 것이거나요.”

최근에는 조커 앱 변종들 중 스파이웨어 기능이 있는 게 발견되기도 했다. 이 앱들은 위에서 설명한 사기성 공격 외에 SMS 메시지와 연락처, 기기 정보를 훔쳐 어디론가 전송하는 특성을 가지고 있었다.

3줄 요약
1. 현 시점에서 구글을 가장 괴롭히는 안드로이드 멀웨어는 조커.
2. 변종이 너무나 많고, 엄청나게 다양한 난독화 및 클로킹 기술 가지고 있어 탐지 까다로움.
3. 그래도 현재까지 1만 7천개 이상의 조커 앱을 좇아내는 데 성공.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)