Home > 전체기사
한국과 일본 주로 노리는 엑스로더, 얀비안 갱이 배후에?
  |  입력 : 2018-11-28 17:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
엑스로더와 페이크스파이, 여러 가지 면에서 유사성 보여
한국 은행 고객들 노리던 얀비안 갱과의 관련성도 나타나


[보안뉴스 문가용 기자] 보안 업체 트렌드 마이크로(Trend Micro)가 안드로이드 멀웨어인 엑스로더(XLoader)와 페이크스파이(FakeSpay)라는 멀웨어 패밀리가 사이버 범죄 단체인 얀비안 갱(Yanbian Gang)과 관련이 있을 가능성이 높다고 발표했다.

[이미지 = iclickart]


트렌드 마이크로의 연구원들은 먼저 엑스로더와 페이크스파이의 사용자 및 운영자가 동일한 단체이거나 매우 밀접하게 연결된 두 단체일 것이라고 예상했다. 왜냐하면 이 두 가지 멀웨어가 사용자 정보를 훔치는 기능을 발휘하는 부분에서 같은 코드가 발견됐기 때문이라고 트렌드 마이크로는 자사 블로그를 통해 설명했다.

“게다가 이 두 멀웨어 모두 일본의 배달 서비스 회사 한 곳에서 만들어 배포하는 것으로 보이는 앱인 것처럼 위장되어 있었습니다. 또한 멀웨어를 피해자 시스템으로 주입하는 구조도 동일했고요. 멀웨어 샘플을 확보할 수 있었던 도메인도 같았습니다. C&C 주소를 숨기는 기법도 유사했습니다.”

확보한 샘플을 조사했더니, 엑스로더와 페이크스파이의 코드 구조와 행동 패턴에서 얀비안 갱이라는 중국 사이버 범죄 단체와의 관계성이 나타났다. 특히 페이크스파이에서 이런 점이 눈에 띄었다고 한다. “얀비안 갱은 한국의 은행들을 공격해 고객들로부터 돈을 훔쳐낸 악명 높은 범죄 단체입니다.”

뿐만 아니라 트렌드 마이크로는 후이즈(WHOIS)로부터 “페이크스파이와 엑스로더와 관련된 등록자가 악성 중국 도메인 일부를 같이 사용했다”는 것을 알아낼 수 있었다. 이 도메인들의 경우, 두 멀웨어가 일본의 배달 서비스 업체의 앱인 것처럼 위장되어 호스팅되어 있었다. 등록자 정보에는 중국 지린성의 전화번호와 주소가 기입되어 있었다. 지린성은 얀비안 갱단원들이 활동하는 곳으로 알려져 있다.

“하지만 엑스로더와 페이크스파이의 운영자가 정확하게 같은 인물 혹은 단체라고 결론을 내리기에는 증거가 부족합니다. 왜냐하면 요즘에는 공격 인프라 자체를 대여하는 서비스가 다크웹에 활성화 되어 있기 때문입니다. 전혀 상관이 없는 두 단체가 같은 인프라를 대여했을 가능성을 배제할 수 없습니다. 심지어 같은 곳에서 비슷한 멀웨어를 구매했을 수도 있고요. 이래서 다크웹 시장이 성장할수록 수사와 추적이 어렵게 되는 것입니다.”

2018년 10월부터 전 세계적으로 엑스로더와 페이크스파이에 당한 피해자는 384.748명이다. 이 피해자의 대부분은 한국인과 일본인들이라고 한다. “엑스로더와 페이크스파이는 처음 등장했을 때부터 지금까지 계속해서 변화를 시도하고 있으며, 그 결과 기술과 전략, 공격 대상, 공격 인프라 모든 면에서 자꾸만 바뀝니다. 그래서 점점 더 발전적인 모습을 보이는 것이죠. 이런 운영을 얀비안이 하고 있다는 건 한국과 일본 안드로이드 사용자들에게 큰 위협입니다.”

3줄 요약
1. 엑스로더와 페이크스파이라는 안드로이드 멀웨어, 닮은 점 많음.
2. 페이크스파이는 중국의 얀비안 갱이라는 해킹 단체와 연결성 있음.
3. 피해가 가장 많은 국가는 한국과 일본. 얀비안 갱은 이전부터 한국 노려온 단체.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)