Home > 전체기사
4년 간 진화한 스파이웨어, 이제 뱅킹 트로이목마 겸 랜섬웨어
  |  입력 : 2018-11-27 16:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
단문 메시지 가로채기만 했던 스파이웨어, 발전에 발전 거듭
현재는 임시적인 대처법 있어...하지만 이 역시 곧 업그레이드 될 듯


[보안뉴스 문가용 기자] 로텍시(Rotexy)라고 이름이 붙은 모바일 멀웨어가 점점 변신하고 있다. 원래는 스파이웨어였는데 현재는 여러 가지 기능을 탑재한 뱅킹 트로이목마가 된 상태라고 한다. 연구에 따르면 로텍시는 지난 8월부터 10월 사이 주로 러시아에서 약 7만 번의 공격을 감행했다.

[이미지 = iclickart]


보안 업체 카스퍼스키(Kaspersky)가 발표한 기술 보고서에 의하면 로텍시는 2014년 10월 처음 발견됐고, 그 때는 SMS 스파이웨어였다고 한다. “하지만 최신 버전의 로텍시는 뱅킹 트로이목마와 랜섬웨어 기능을 동시에 가지고 있습니다. SMS 메시지를 훔쳐보던 단순한 멀웨어가, 이제는 기기 화면 조작 기능까지 탑재하게 되었습니다.” 카스퍼스키의 타탸나 슈슈코바(Tatyana Shishkova)와 레브 피크만(Lev Pikman)의 설명이다.

카스퍼스키가 이번에 발표한 보고서에는 로텍시가 지난 4년 동안 어떤 식으로 발전해왔는지가 기술되어 있다. 로텍시의 가장 기본이 되는 특성은 C&C 서버 역할을 하는 것이 세 가지나 된다는 것이다. 하나는 전통적인 C&C 서버이고 나머지 둘은 단문 메시지와 구글 클라우드 메시징(GCM) 플랫폼이다.

“명령과 제어가 가능한 통로가 세 군데나 된다는 건 유연성이 뛰어나다는 것입니다. 이는 로텍시의 최초 버전부터 있었던 특징으로, 여태까지 나타난 모든 버전에 계승되고 있습니다.” 카스퍼스키에 의하면 이 최초 버전이란 Trojan-Spy.AndroidOS.SmsThief로, 문자 메시지 열람 및 가로채기, 현재 실행되고 있는 프로세스 정보 수집 및 목록화, 설치된 애플리케이션 정보 수집 등의 기능을 발휘했다. 현재는 Trojan-Banker.AndroidOS.Rotexy라는 새로운 이름으로 분류되며, 화면을 조작해 랜섬웨어 공격을 하거나 피싱 공격을 할 수 있다.

공격 프로세스
로텍시의 최신 버전은 피싱 문자로 전달되는 악성 링크를 통해 퍼진다. 이 문자 메시지의 내용은 ‘특정 앱을 설치하라’는 것이고, 링크를 누르면 그 앱을 설치할 수 있는 것처럼 만들어져 있다. 사용자가 이 링크를 누르면 관리자 권한을 요청하면서, 동시에 C&C 서버와의 통신을 시작한다.

실행이 되면 로텍시는 제일 먼저 기기가 물리적으로 러시아에 있는지부터 확인한다. 그러고 나서는 보안 전문가들이 사용하는 에뮬레이터 환경 여부를 확인한다. 이 두 가지 과정을 통과하고 나서는 구글 클라우드 메시징(GCM)에 모바일 알림 서비스를 등록하고 실행시킨다. 기기 관리자 권한을 취득했는지 확인하기 위함이다.

“누군가 관리자 권한을 빼앗으려 하면 로텍시가 화면을 주기적으로 끕니다. 사용자가 아무런 행동을 할 수 없도록 방해하기 위해서죠. 그래도 사용자나 누군가가 권한을 성공적으로 빼앗으면 로텍시는 주기적으로 관리자 권한을 요청하는 메시지를 띄웁니다.”

한 번 기기 감염에 성공하면 로텍시는 장비가 켜지거나 꺼지는 것을 민감하게 파악한다. 또한 문자 메시지가 발송될 때도 해당 정보가 C&C로 전송된다. 문자 추적을 위해 로텍시는 감염된 기기의 국제 모바일 기기 식별코드(IMEI)를 C&C로 전송하기도 한다. 이를 받은 C&C에서는 문자 메시지 처리를 위한 규칙 설정 내용을 기기로 전달한다. 이 때 은행이나 지불시스템, 모바일 네트워크 운영자들로부터 들어오는 메시지의 전화번호나 주요 키워드 등이 포함된다.

“규칙이 설정되면 로텍시는 그 규칙에 걸리는 모든 문자들을 가로챕니다. 그리고 C&C의 명령에 따라 그 문자들을 처리하죠. 그 외에도 문자가 들어올 때 기기 음소거 장치를 키고 화면은 꺼서 사용자가 아무런 눈치를 채지 못하게 합니다. 심지어 특정 번호로 문자 메시지를 로텍시가 보내기도 합니다. 이 문자들에는 로텍시가 가로챈 문자들의 정보가 담겨져 있습니다.”

이 시점에서 공격자들을 랜섬웨어 기능을 첨가했다. 즉 문자를 못 보도록 화면을 끄는 것처럼, 암호화가 진행되는 동안 화면을 꺼두는 것이다. 암호화가 다 끝나면 협박 편지를 화면에 띄우고 돈을 요구한다.

또한 로텍시는 은행의 웹 페이지를 굉장히 그럴듯하게 흉내 내기도 한다. 사용자가 카드 정보를 입력하도록 꾸민 것으로, 보통 사용자에게 돈이 송금됐으니 확인을 위해 정확한 정보를 입력하라는 내용이라고 한다. “이 페이지의 경우 사용자가 정보를 입력할 때까지 화면을 잠가버립니다.” 심지어 사용자가 입력한 카드 정보가 올바른 것인지 확인하는 기능도 로텍시는 가지고 있다. 은행이 보낸 메시지를 가로채고, 피해자의 전화기로 들어오는 문자 메시지를 처리함으로써 이게 가능하다고 카스퍼스키는 설명한다.

보통 로텍시에 당하면 화면이 잠기는 현상이 나타날 텐데, 여기에는 간단한 파훼법이 존재한다. 다른 전화기나 서비스를 활용해 잠긴 전화기로 3458이라는 문자를 보내고, stop_blocker라는 명령어를 전송하면 된다. 이 두 가지 문자열 및 명령어는 로텍시 범인들이 사용하는 것이다. “물론 로텍시가 관리자 권한을 다시 요청하기 시작할 수도 있습니다. 그럴 경우 기기를 안전 모드로 재부팅하고 악성 프로그램을 삭제해야 합니다.”

하지만 이는 완벽한 해결책이 아니다. 왜냐하면 곧 업데이트 된 로텍시가 나올 가능성이 높기 때문이다. “3458이나 stop_blocker가 곧 안 통할 수도 있습니다. 공격자들도 뉴스와 신문을 읽고 자신들의 무기를 업데이트 하거든요.”

3줄 요약
1. 러시아 모바일 사용자 주로 노리는 로텍시.
2. 처음에는 문자 가로채는 스파이웨어였는데, 이젠 뱅킹 트로이목마 겸 랜섬웨어.
3. 현재 버전은 잠긴 폰으로 3458이라는 문자 메시지 보내고 stop_blocker 명령어 보내면 해결 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)