구글의 개발 플랫폼을 C&C 서버로 활용하고, MS의 코드 리포지터리에 멀웨어를 호스팅 해 둠으로써 구글 플레이 스토어의 보안 점검을 뚫어낸 공격자들이 발견됐다. 앞으로도 계속해서 새로운 시도가 나올 것에는 의심할 여지가 없다.

[보안뉴스 문가용 기자] 사용자들의 금융 계정 정보를 탈취하고 직접 계정에 침투하는 공격자들의 새로운 기법을 보안 업체 체크포인트(Check Point)가 발견했다. 구글의 플레이 스토어가 이 과정에서 무력화 되는 것이 중요한 포인트라고 한다.

[이미지 = utoimage]

체크포인트에 의하면 공격자들은 구글의 파이어베이스(Firebase)라는 플랫폼을 C&C 인프라로 활용한다고 한다. 그리고 주요 멀웨어를 깃허브(GitHub)에 호스팅 해둔다고도 한다. 이 때문에 구글이 플레이 스토어에 앱을 등록하기 전에 실행하는 모든 보안 검사를 통과할 수 있게 된다는 게 업체의 설명이다.

처음 체크포인트는 한 안드로이드 정상 앱들 몇 개에서 멀웨어 드로퍼가 숨겨진 것을 발견했다. 이 때가 1월이었다. VPN 앱, 바코드 앱, 음악 플레이어 등 종류도 다 양했다. 체크포인트의 모바일 전문가인 아비란 하줌(Aviran Hazum)은 “이런 앱들의 공통점은 오픈소스 프로젝트들에 기반하고 있었다는 것”이라고 설명한다. “공격자가 코드를 다운로드 해서 악성 요소를 첨부하는 식으로 앱을 감염시키는 게 가능한 구조라는 겁니다.”

현재 해당 앱들은 전부 스토어에서 삭제된 상태다.

이 앱들에서 발견된 드로퍼는 클래스트82(Clast82)라고 하며, 구글의 플레이 스토어의 점검 장치들을 피해가는 데에 특화되어 있는 것으로 분석됐다. “기본적으로 설명하면, 클래스트82는 구글 플레이 스토어에의 등록을 위한 점검 과정을 거치는 동안 꺼져 있다가, 그 과정이 전부 지나가면 발동됩니다. 클래스트82는 에얼리언봇 뱅커(AlienBot Banker)와 엠랫(MRAT)이라는 멀웨어를 추가로 다운로드 받습니다. 둘 다 모바일 멀웨어 패밀리들입니다.”

공격자들이 활용했던 구글 파이어베이스는 모바일 앱 개발자들이 사용하는 플랫폼이다. 구글이 앱을 평가하는 기간 동안 공격자들은 파이어베이스 계정을 사용해 자신들이 미리 심어둔 드로퍼의 매개변수를 설정한다. 처음에는 클래스트82가 꺼져 있는 것처럼 조용히 있다가 나중에 악성 기능을 발동시키는 것도 다 이러한 설정 변경 때문에 가능하다. 이 과정에서 파이어베이스는 멀웨어를 개발자들이 원격에서 제어하게 해 주는 C&C의 역할을 담당한다.

클래스트82가 다운로드 하는 에얼리언봇 뱅커는 깃허브에 저장되어 있는 것으로 밝혀졌다. 앱 업데이트를 통해 에얼리언봇 뱅커의 설치가 완료되면 앱의 성질이 완전히 바뀐다. 물론 사용자가 기대했던 본연의 기능(예 : 뮤직 플레이어)은 그대로 수행되지만, 뒤에서 악성 행위가 시작되는 것이다.

“에얼리언봇 뱅커는 악성 코드를 인터넷 뱅킹 및 금융 애플리케이션들에 삽입하는 기능을 가지고 있습니다. 이를 통해 피해자의 은행 계좌 등을 공격자가 제어할 수 있게 되죠. 문자메시지를 가로챔으로써 이중인증도 뚫어낼 수 있습니다.” 한편 엠랫은 장비에 대한 제어 권한을 공격자가 가져갈 수 있도록 해 주는 멀웨어라고 한다.

모바일 앱 스토어를 침투하려는 공격자들의 시도는 절대 끝나지 않을 것이라는 게 다시 한 번 드러난 사례라고 체크포인트는 짚는다. 바로 지난 달에도 보안 업체 멀웨어바이츠(Malwarebytes)는 인기 높은 안드로이드 앱인 바코드 스캐너(Barcode Scanner)에 악성 코드가 주입되어 있는 걸 발견하기도 했다.

3줄 요약
1. 플레이 스토어에 올라와 있던 여러 앱에서 클래스트82라는 드로퍼가 발견됨.
2. 클래스트82는 앱 평가 기간에는 숨어 있다가 나중에 발동되어 추가 멀웨어를 다운로드함.
3. 공격자들이 노리는 건 금융 정보라고 보이는 가운데, 구글은 다시 한 번 스토어 관리에 실패.