Home > 전체기사
왓츠앱, 페이스북 메신저, 라인 노리는 안드로이드 멀웨어, 울프랫
  |  입력 : 2020-05-20 15:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
스파이웨어를 만들어 정부 기관들과 거래하던 독일의 옛 업체, 울프 리서치의 작품?
네 가지 버전 발견돼...현재까지는 태국에서 주로 피해자 나오는 상황...피싱 미끼도 태국 음식


[보안뉴스 문가용 기자] 새로운 안드로이드 멀웨어 패밀리가 발견됐다. 인기 높은 메신저 애플리케이션인 왓츠앱과 페이스북 메신저를 공략해 사용자들의 정보를 몰래 훔쳐가는 기능을 가지고 있는 멀웨어라고 한다. 이름은 울프랫(WolfRAT)으로, 현재 개발 중에 있으며, 태국 사용자들 사이에서 피해자가 주로 나타나고 있다고 한다. 독일의 스파이웨어 제조사인 울프 리서치(Wolf Research)가 배후에 있는 것으로 알려져 있다.

[이미지 = iclickart]


이에 대한 상세 분석 보고서를 발표한 시스코 탈로스(Cisco Talos) 팀의 워런 머서(Warren Mercer), 폴 라스카그네레스(Paul Rascagneres), 비토 벤추라(Vitor Ventura)는 “스마트폰을 통해 메시지를 익숙하게 주고받다 보면, 민감한 정보도 거리낌 없이 교환하는 경우가 많다”고 말하며, “울프랫은 바로 그러한 점을 노리고 제작된 것으로 보인다”고 한다. “특히 인기 높은 메신저 앱인 왓츠앱과 페이스북 메신저에 더해 아시아 지역의 라인(Line)까지 같이 노린 걸 보면 이들이 이런 사람들의 특성을 잘 이해하고 있는 것으로 보입니다.”

아직까지 울프랫의 감염 경로가 정확히 발견되지는 않았지만, 피해자에게 악성 링크를 전달하는 피싱 공격 혹은 스미싱 공격이 의심된다고 한다. 공격자들의 C&C 서버는 태국에 있는 것으로 나타났는데, 이 서버를 분석하니 태국 음식에 관한 자료들이 저장되어 있었다. 이 때문에 탈로스 팀은 울프랫 운영자들이 ‘태국 음식’과 관련된 내용으로 피해자들을 속인 것으로 보고 있다.

다운로드가 된 울프랫은 구글 플레이나 플래시 업데이트와 같은 정상적인 앱처럼 보인다. 정상적인 앱의 아이콘과 패키지 이름을 그대로 사용한다. 내부적으로는 덴드로이드(DenDroid)라는 기존 멀웨어를 기반으로 하고 있다. 덴드로이드는 2014년 처음 발견된, 꽤나 단순한 안드로이드 멀웨어로, 사진을 찍고 녹화 및 녹음을 하는 등의 간단한 정찰 기능을 가지고 있다.

탈로스 팀에서는 현재까지 네 개 버전의 울프랫을 발견했다. 최근에 만들어지고 발견된 것이 다양한 변종을 가지고 있다는 건, 보통 개발이 완료되지 않았다는 뜻이 된다. 지금 배후에 있는 멀웨어 개발자들이 한창 실험 중에 있는 것으로 보인다고 탈로스 팀은 설명했다.

네 가지 버전 모두에는 화면 녹화 기능이 있었다. 첫 번째 샘플에는 이름만 있고 실제 기능은 없었지만 그 후 나온 버전들에는 실제 기능이 포함되어 있었다. 나중 버전에는 왓츠앱이나 페이스북 메신저, 라인이 실행되고 있다는 걸 확인한 후 화면 녹화가 발동되도록 설계가 되어 있기도 했다.

일부 버전의 울프랫은 설치 시 사용자에게 ACCESS_SUPERUSER와 DEVICE_ADMIN 권한을 요청하기도 했다. 전자는 안드로이드 5.0부터 사라진 권한이고 후자는 안드로이드 10부터 사라진 것이지만, 공격자들이 높은 권한을 필요로 한다는 걸 알 수 있는 부분이다. 그 외에도 READ_FRAME_BUFFER와 같은 권한을 요청하기도 했다. 탈로스에 의하면 “이것이 핵심”이라고 한다. 이 권한이 있어서 화면을 캡쳐할 수 있게 되기 때문이다.

하지만 그 외도 전혀 사용되지 않는 코드들이 다량으로 포함되어 있기도 했다. 자꾸만 패키지가 있었다가 없어지고, 필요 없는 코드가 잔뜩 있으며, 오래된 기술이 복합적으로 존재하는 걸 봐서 아마추어 개발자가 배후에 있을 가능성이 높다고 시스코 측은 추측하고 있다. “코드가 서로 중복되질 않나, 오픈소스를 마구잡이로 가져다가 베끼질 않나, 인스턴스화 시키지 않은 클라스가 난무하고, 패키지는 버전에 따라 불규칙적으로 바뀌는 등, 이제 막 코딩을 배운 사람처럼도 보입니다.”

하지만 그 아마추어 같은 자들은 ‘울프 리서치’라는 독일 회사로 강력히 의심되는 상황이다. 공격에 활용되고 있던 인프라는 물론 문자열들에서 울프 리서치가 이전에 진행했던 스파잉 캠페인의 흔적이 많이 나타났기 때문이다. 울프 리서치라는 회사 자체는 현재 문을 닫은 것처럼 보이지만, 구성원들 중 일부가 아직 활동을 이어가고 있는 것 같다고 시스코는 추측하고 있다. 또한 울프 리서치가 문을 닫고 생긴 조직의 이름은 록디(LokD)인 것으로 보인다. 울프 리서치는 스파이웨어를 개발해 정부 기관 등에 은밀히 파는 사업을 진행했던 회사다.

“울프랫 개발자들이 아마추어 같은 실수를 많이 저질렀어요. 스스로가 울프랫이라고 외치는 듯한 증거가 너무 많이 나왔고, 전 울프 리서치의 멤버들이 배후 세력임이 분명합니다. 다행히 아직 울프랫은 완성품은 아닌 것으로 보입니다. 태국 음식을 미끼로 한 피싱 메일을 통해 세계 메신저 사용자들을 염탐하려는 이들의 계획이 생각보다 일찍 탄로났다고 볼 수 있습니다. 물론 이것이 공격을 완전히 차단했다는 소식은 아니지만요.”

3줄 요약
1. 안드로이드 생태계에서 왓츠앱, 페이스북 메신저, 라인 노리는 새로운 멀웨어 패밀리 등장함.
2. 울프랫이라는 이름을 가졌으며 이전 독일의 스파이웨어 제조사인 울프 리서치의 작품으로 보임.
3. 아직 개발 완성되지 않은 듯하며, 아마추어와 같은 실수들이 곳곳에 눈에 띄기도 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)