Home > 전체기사

페이스북 크리덴셜 노리는 안드로이드 악성 앱, 플라이트랩

  |  입력 : 2021-08-10 15:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
페이스북의 크리덴셜을 노리는 악성 캠페인이 적발됐다. 플라이트랩이라는 멀웨어를 활용하는 캠페인으로 얼마 전까지 구글 공식 플레이스토어에서도 유포됐다고 한다. 최근 무료 쿠폰을 준다는 앱을 다운로드 받았다면 페이스북 계정 비밀번호를 바꿔야 할지도 모르겠다.

[보안뉴스 문가용 기자] 안드로이드의 공식 플레이스토어에서 또 다시 멀웨어가 발견됐다. 이름은 플라이트랩(FlyTrap)이라고 하며 이미 1만 명 이상이 다운로드 받았다고 한다. 플라이트랩의 가장 큰 목적은 페이스북 크리덴셜을 수집하는 것이라고 한다. 정상적인 앱으로 가장하여 퍼지고 있었지만 구글은 보안 업체의 제보로 해당 앱들을 삭제할 수 있었다.

[이미지 = utoimage]


플라이트랩을 제일 먼저 발견한 건 보안 업체 짐페리움(Zimperium)이다. 짐페리움이 추적한 바에 따르면 플라이트랩은 3월부터 등장했으며 현재 114개국에 퍼져 있는 상태라고 한다. 플라이트랩 운영자들은 베트남에 있는 것으로 보인다. 구글 플레이에서는 삭제됐지만 서드파티 스토어에서는 여전히 유통되고 있다.

짐페리움은 플라이트랩이 다음 9개 앱으로 가장한 채 퍼졌다고 한다.
1) GG Voucher (com.luxcarad.cardid)
2) Vote European Football (com.gardenguides.plantingfree)
3) GG Coupon Ads (com.free_coupon.gg_free_coupon)
4) GG Voucher Ads (com.m_application.app_moi_6)
5) GG Voucher (com.free.voucher)
6) Chatfuel (com.ynsuper.chatfuel)
7) Net Coupon (com.free_coupon.net_coupon)
8) Net Coupon (com.movie.net_coupon)
9) EURO 2021 Official (com.euro2021)

대부분 무료 쿠폰을 나눠준다거나 축구 선수나 팀에 투표할 수 있게 해 주는 앱들이다. 공식 앱처럼 보이도록 그래픽과 만듦새에 적잖은 공을 들인 것이 특징이라고 짐페리움 측은 설명한다. 이 앱을 설치한 후 쿠폰이나 투표 기회를 받으려면 페이스북 계정으로 로그인 하도록 안내되는데, 여기에 속으면 크리덴셜 정보가 공격자들에게 넘어간다. 또한 배경에서는 사용자들 모르게 위치 정보, 이메일 주소, IP 주소, 쿠키와 토큰을 수집한다.

이런 정보들을 바탕으로 페이스북 계정을 장악한 후 플라이트랩 운영자들은 해당 계정을 통해 마수를 뻗친다. 피해자의 계정으로, 피해자가 그런 것처럼 게시글을 올리거나 메시지를 보내 위 앱들을 소개하는 것이다. 페이스북 지인들이 의심없이 이 앱을 받아 설치할 경우 계정을 공격자들에게 빼앗기게 된다. 피해자의 위치 정보에 따라 가짜뉴스나 프로파간다를 퍼트리기도 한다.

이와 비슷한 공격 캠페인으로는 사일런트페이드(SilentFade)와 코퍼스틸러(CopperStealer)가 있었다. 사일런트페이드는 중국 해커들이 진행한 캠페인으로, 공격자들은 페이스북 크리덴셜을 훔쳐 수년 동안 사용자들로부터 400만 달러를 빼앗아냈다. 코퍼스틸러는 비밀번호와 쿠키를 주로 훔치는 캠페인이었고, 2019년 당시 피해자들은 페이스북 외에도 아마존, 애플, 구글의 계정도 도난당했었다.

짐페리움은 플라이트랩 공격자들이 운영하는 C&C 서버에까지 추적하는 데 성공했다. 그리고 그 서버에서 취약점을 발견하기까지 했다. 설정이 잘못 되어 있었던 것으로, 이를 플라이트랩 공격자들이 그 동안 수집해 둔 모든 정보를 열람할 수 있었다. 해당 DB의 URL 주소만 있다면 누구나 접근할 수 있는 상태로 서버가 설정되어 있었다고 한다.

짐페리움은 “모바일 장비에서 크리덴셜을 훔치는 공격 자체야 전혀 새로울 것이 없지만 플라이트랩의 경우 그 수법이 대단히 효과적이라 사이버 공격자들에게 영감을 줄 것으로 보인다”고 경고한다. 앞으로 비슷한 얼개를 가진 공격 캠페인이 종종 모바일 장비들을 위협하며 나타날 것이라는 뜻이다. 페이스북 크리덴셜을 노리기 위한 것만이 아니라 다른 종류의 멀웨어를 설치하는 데 얼마든지 응용될 수 있다고 짐페리움은 보고 있다.

그렇다면 이러한 공격을 모바일 사용자들은 어떻게 막아야 할까? 짐페리움은 플라이트랩에 대한 상세 내용을 발표함과 동시에 “모바일 장치에 아무 앱이나 설치되지 않도록 설정해야 한다”고 권장했다. 플라이트랩의 경우 공식 플레이스토어에서도 유포됐기 때문에 이러한 설정만으로 방어가 불가능했겠지만, 현재는 서드파티를 통해서만 제공되고 있기 때문에 이런 권고가 효과를 거둘 수 있다. 대부분의 안드로이드 장비는 디폴트로 이런 설정이 되어 있다.

그 외에 안드로이드 장비를 통해 사용하는 웹 서비스에 이중 인증 옵션을 적용하는 것도 좋은 방법이다. 페이스북 역시 이중 인증 옵션을 제공하는 서비스 중 하나다. 무적의 방어법은 아니지만 공격자들을 꽤나 귀찮게 만들 수 있다는 게 짐페리움의 설명이다.

또한 짐페리움은 “웹상에서 누군가 너무 좋은 서비스를 너무 좋은 비용에 제공한다고 했을 때, 게다가 그걸 이용하거나 취득하는 방법이 너무 쉬울 때 의심부터 하는 것이 중요하다”고 강조했다. 특히 소셜미디어 계정과 비밀번호를 손으로 직접 타이핑 해서 입력하라는 요구가 그 취득 및 이용 과정 중에 등장하면 십중팔구 사기니 조심하라고 덧붙이기도 했다.

3줄 요약
1. 구글 플레이스토어에 플라이트랩이라는 악성 앱 등장.
2. 페이스북 크리덴셜을 수집하는 것이 목적인 앱으로 베트남 공격자들이 운영하는 듯.
3. 전 세계 144개국에 이미 퍼진 상태. 1만여 명이 피해를 입었음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화