Home > 전체기사

페이스북 크리덴셜 노리는 안드로이드 악성 앱, 플라이트랩

  |  입력 : 2021-08-10 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이스북의 크리덴셜을 노리는 악성 캠페인이 적발됐다. 플라이트랩이라는 멀웨어를 활용하는 캠페인으로 얼마 전까지 구글 공식 플레이스토어에서도 유포됐다고 한다. 최근 무료 쿠폰을 준다는 앱을 다운로드 받았다면 페이스북 계정 비밀번호를 바꿔야 할지도 모르겠다.

[보안뉴스 문가용 기자] 안드로이드의 공식 플레이스토어에서 또 다시 멀웨어가 발견됐다. 이름은 플라이트랩(FlyTrap)이라고 하며 이미 1만 명 이상이 다운로드 받았다고 한다. 플라이트랩의 가장 큰 목적은 페이스북 크리덴셜을 수집하는 것이라고 한다. 정상적인 앱으로 가장하여 퍼지고 있었지만 구글은 보안 업체의 제보로 해당 앱들을 삭제할 수 있었다.

[이미지 = utoimage]


플라이트랩을 제일 먼저 발견한 건 보안 업체 짐페리움(Zimperium)이다. 짐페리움이 추적한 바에 따르면 플라이트랩은 3월부터 등장했으며 현재 114개국에 퍼져 있는 상태라고 한다. 플라이트랩 운영자들은 베트남에 있는 것으로 보인다. 구글 플레이에서는 삭제됐지만 서드파티 스토어에서는 여전히 유통되고 있다.

짐페리움은 플라이트랩이 다음 9개 앱으로 가장한 채 퍼졌다고 한다.
1) GG Voucher (com.luxcarad.cardid)
2) Vote European Football (com.gardenguides.plantingfree)
3) GG Coupon Ads (com.free_coupon.gg_free_coupon)
4) GG Voucher Ads (com.m_application.app_moi_6)
5) GG Voucher (com.free.voucher)
6) Chatfuel (com.ynsuper.chatfuel)
7) Net Coupon (com.free_coupon.net_coupon)
8) Net Coupon (com.movie.net_coupon)
9) EURO 2021 Official (com.euro2021)

대부분 무료 쿠폰을 나눠준다거나 축구 선수나 팀에 투표할 수 있게 해 주는 앱들이다. 공식 앱처럼 보이도록 그래픽과 만듦새에 적잖은 공을 들인 것이 특징이라고 짐페리움 측은 설명한다. 이 앱을 설치한 후 쿠폰이나 투표 기회를 받으려면 페이스북 계정으로 로그인 하도록 안내되는데, 여기에 속으면 크리덴셜 정보가 공격자들에게 넘어간다. 또한 배경에서는 사용자들 모르게 위치 정보, 이메일 주소, IP 주소, 쿠키와 토큰을 수집한다.

이런 정보들을 바탕으로 페이스북 계정을 장악한 후 플라이트랩 운영자들은 해당 계정을 통해 마수를 뻗친다. 피해자의 계정으로, 피해자가 그런 것처럼 게시글을 올리거나 메시지를 보내 위 앱들을 소개하는 것이다. 페이스북 지인들이 의심없이 이 앱을 받아 설치할 경우 계정을 공격자들에게 빼앗기게 된다. 피해자의 위치 정보에 따라 가짜뉴스나 프로파간다를 퍼트리기도 한다.

이와 비슷한 공격 캠페인으로는 사일런트페이드(SilentFade)와 코퍼스틸러(CopperStealer)가 있었다. 사일런트페이드는 중국 해커들이 진행한 캠페인으로, 공격자들은 페이스북 크리덴셜을 훔쳐 수년 동안 사용자들로부터 400만 달러를 빼앗아냈다. 코퍼스틸러는 비밀번호와 쿠키를 주로 훔치는 캠페인이었고, 2019년 당시 피해자들은 페이스북 외에도 아마존, 애플, 구글의 계정도 도난당했었다.

짐페리움은 플라이트랩 공격자들이 운영하는 C&C 서버에까지 추적하는 데 성공했다. 그리고 그 서버에서 취약점을 발견하기까지 했다. 설정이 잘못 되어 있었던 것으로, 이를 플라이트랩 공격자들이 그 동안 수집해 둔 모든 정보를 열람할 수 있었다. 해당 DB의 URL 주소만 있다면 누구나 접근할 수 있는 상태로 서버가 설정되어 있었다고 한다.

짐페리움은 “모바일 장비에서 크리덴셜을 훔치는 공격 자체야 전혀 새로울 것이 없지만 플라이트랩의 경우 그 수법이 대단히 효과적이라 사이버 공격자들에게 영감을 줄 것으로 보인다”고 경고한다. 앞으로 비슷한 얼개를 가진 공격 캠페인이 종종 모바일 장비들을 위협하며 나타날 것이라는 뜻이다. 페이스북 크리덴셜을 노리기 위한 것만이 아니라 다른 종류의 멀웨어를 설치하는 데 얼마든지 응용될 수 있다고 짐페리움은 보고 있다.

그렇다면 이러한 공격을 모바일 사용자들은 어떻게 막아야 할까? 짐페리움은 플라이트랩에 대한 상세 내용을 발표함과 동시에 “모바일 장치에 아무 앱이나 설치되지 않도록 설정해야 한다”고 권장했다. 플라이트랩의 경우 공식 플레이스토어에서도 유포됐기 때문에 이러한 설정만으로 방어가 불가능했겠지만, 현재는 서드파티를 통해서만 제공되고 있기 때문에 이런 권고가 효과를 거둘 수 있다. 대부분의 안드로이드 장비는 디폴트로 이런 설정이 되어 있다.

그 외에 안드로이드 장비를 통해 사용하는 웹 서비스에 이중 인증 옵션을 적용하는 것도 좋은 방법이다. 페이스북 역시 이중 인증 옵션을 제공하는 서비스 중 하나다. 무적의 방어법은 아니지만 공격자들을 꽤나 귀찮게 만들 수 있다는 게 짐페리움의 설명이다.

또한 짐페리움은 “웹상에서 누군가 너무 좋은 서비스를 너무 좋은 비용에 제공한다고 했을 때, 게다가 그걸 이용하거나 취득하는 방법이 너무 쉬울 때 의심부터 하는 것이 중요하다”고 강조했다. 특히 소셜미디어 계정과 비밀번호를 손으로 직접 타이핑 해서 입력하라는 요구가 그 취득 및 이용 과정 중에 등장하면 십중팔구 사기니 조심하라고 덧붙이기도 했다.

3줄 요약
1. 구글 플레이스토어에 플라이트랩이라는 악성 앱 등장.
2. 페이스북 크리덴셜을 수집하는 것이 목적인 앱으로 베트남 공격자들이 운영하는 듯.
3. 전 세계 144개국에 이미 퍼진 상태. 1만여 명이 피해를 입었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)