ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 가짜 포켓몬고 악성앱에 의한 사용자 정보 탈취
      카테고리 없음 2016. 7. 15. 15:01
      반응형



      근래 출시된 증강현실 모바일게임 포켓몬고(Pokemon Go)의 인기가 뜨겁다. 게임의 인기와는 대조적으로 막상 게임이 정식 출시된 국가는 몇 안 되며 따라서 게임을 즐기기 위해 구글 플레이나 애플 앱스토어 등 정식 채널이 아닌 다른 경로를 통해 게임을 구하려는 시도가 많아질 수 있다.

       

      이는 보안 측면에서 문제가 될 수 있는데 물론 구글 플레이나 구글 플레이스토어 역시 맬웨어 위협이 완전히 없다고 할 수는 없지만 적어도 외부 앱마켓에 비해서는 상대적으로 안전한 편이다. 반면 구글의 심사를 거치지 않고 누구나 무슨 앱이든 등록할 수 있는 외부 앱마켓을 통한 앱 다운로드는 그 안전을 보장하기 어렵다. 실제로 포켓몬고 정식 앱을 해킹하여 맬웨어를 주입한 악성앱으로 개조한 사례가 벌써 발견되는 등 포켓몬고의 인기가 사이버범죄에 악용되기 시작했다.


       

       

      포켓몬고 악성코드

       

      여기에서 소개하는 포켓몬고 위장 악성앱은 안드로이드 스파이웨어/RAT/봇툴킷 등을 통해 겉으로는 정상적으로 작동하면서 원본 앱과 똑같아 보이지만 내부에 악성코드를 숨기고 있다. 이 맬웨어에는 2014년 밝혀진 원격제어툴 SandroRAT의 이름에서 따온 Andr/SandRat-C라는 이름이 붙여졌다.

       

      참고: 스파이웨어(spyware)란 사용자의 전화통화, 문자메시지, 웹브라우징 등 온라인활동 정보를 탈취하는 맬웨어를 의미한다. RAT는 원격접속 트로이목마(remote access Trojan)의 약자로 주로 사용자의 웹캠을 해킹하는 맬웨어를 가리킨다. (bot)은 좀비(zombie)라고도 하는 원격제어툴로 공격자는 이 맬웨어가 설치된 다수의 감염기기 전체에 일괄적으로 명령을 전송하여 데이터탈취, 메시지 대량전송, 트래픽 과부하에 의한 디도스(분산서비스거부; distributed denial of service, DDoS) 공격 실행 등을 행할 수 있다.

       

      여기서 심각한 문제는 사용자가 이 악성앱을 정식 앱과 구분해 낼 수 있는가이다. Andr/Sandrat-C는 유명한 앱의 겉모양과 행동양상을 모방하여 사용자를 혼동시키는 수법에 머무르지 않고 정식 앱 자체에 백그라운드 구동 스파이웨어 코드만 주입하고 나머지는 그대로 뒀기 때문에 정식 앱을 모방한 게 아니라 동일하게 구현하되 내부에 약간의 변형만 가한 경우에 해당한다. 아래 그림을 보면 정식 앱과 악성 앱의 차이점은 전혀 발견되지 않는다.


       

      Andr/SandRat-C의 정체는 바로 정식 앱과는 달리 백그라운드에서 구동되는 악성기능이 다양하게 들어간 데서 발견할 수 있다. 이들 기능은 보안승인을 필요로 하지만 이러한 승인절차는 실질적으로 효과적인 보안대책이 될 수 없다. 왜냐하면 정식 포켓몬고 앱의 경우 카메라, 마이크, 위치정보, 외부저장소에 대한 접근을 요청하는데 Andr/SandRat-C보다 악성기능이 다소 제한되는 스파이웨어 트로이목마 또한 동일한 수준의 접근만 승인받아도 제 기능을 할 수 있기 때문이다.


       

      Andr/SandRat-C를 디컴파일링하면 정식 포켓몬고 앱과 비교하지 않는다 해도 악성임을 알 수 있다. 아래 그림의 droidjack 항목의 추가요소들은 그 이름이 제시하는 대로의 기능을 수행한다. 하지만 이들 기능이 작동하기 위해 요구하는 승인은 정식 포켓몬고 앱과 비교하여 별 차이가 없기 때문에 안드로이드 개발자 툴을 보유한 사용자조차도 악성코드를 포착하기가 쉽지 않다.


       

      특히 정교하게 설계된 스파이웨어는 추가기능이 많지 않고 여기에 이름도 그럴듯하게 붙일 수 있으며 기존의 정상 앱에 추가 코드를 패치로 주입하는 방식을 사용하기 때문에 어플리케이션 패키지에서는 악성코드임을 바로 알아내기 어렵다. 이를 뒤집어 생각해 보면 정식 포켓몬고 앱의 몇몇 구성요소는 전문가 입장에서도 수상해 보이는 부분이 없지 않다. 특히 프로그래밍 환경에서 구성요소에 기이한 이름을 붙이는 경우가 적지 않기 때문에 맬웨어 구성요소 또한 약간의 위장만으로도 자신의 정체를 손쉽게 숨길 수 있는 것이다.




       

       

      대처방안

      알려지지 않은 앱은 사용하지 않음: 아직 사용자층이 거의 없고 피드백도 빈약한 앱은 사용하지 않도록 한다.

      구글 플레이 사용: 구글 플레이 역시 약점이 없다고는 할 수 없지만 그래도 정체불명의 앱이 난무하는 비공식 안드로이드 마켓보다는 안전한 편이다.

      안드로이드 안티바이러스 사용: 악성앱이나 신원불명의 앱을 자동으로 차단할 수 있는 모바일보안 솔루션을 사용한다.

      업무용 휴대폰 중앙제어: 모바일제어 솔루션을 통해 업무용 휴대전화에 어떤 앱을 허용할지의 여부를 제어할 수 있다.

       

       


      Paul Ducklin, Fake Pokémon GO app watches you, tracks you, listens to your calls, 7. 12. 2016.

      https://nakedsecurity.sophos.com/2016/07/12/fake-pokemon-go-app-watches-you-tracks-you-listens-to-your-calls/

       

      번역요약: madfox




      참고링크 


      <유료안티바이러스 제품비교>

      반응형
      저작자표시 비영리 변경금지

      댓글

    Designed by Tistory.

    티스토리툴바