가짜 텔레그램 퍼지며 오랜 망령들 되살아나
- 가짜 텔레그램 앱, 수개월째 퍼지고 있음
- 권한 상승시키고 원격 명령 실행 가능하게 하는 멀웨어
- 오래된 취약점과 공격 인프라 부활
가짜 텔레그램 앱이 안드로이드 생태계를 감염시키고 있다. 공격자들은 607개의 악성 도메인을 개설한 후 피해자들을 유입시킨 뒤 텔레그램 설치파일로 보이는 멀웨어를 심고 있다. 이 캠페인은 이미 수주 동안 진행됐다고, 인공지능 보안 전문 업체 비포에이아이(BforeAI)가 밝혔다.
“607개 악성 도메인 모두 공식 텔레그램 다운로드 페이지인 것처럼 꾸며져 있습니다. 거의 대부분이 지네임(Gname)을 통해 등록됐고, 현재 중국에 호스팅 되어 있는 것으로 분석됐습니다. 사이트 이름에 teleqram(g대신 q를 썼다), telegramapp, telegramdl과 같은 문자열이 발견되는데, 공격자들이 기초적인 방법까지 동원해 텔레그램을 모방했다는 걸 알 수 있습니다.” 비포에이아이 측의 설명이다.
공격 시나리오는 다음과 같다.
1) 악성 링크나 악성 큐알코드를 통해 텔레그램을 다운로드 받으라는 요청을 보낸다.
2) 여기에 속은 피해자는 가짜 사이트에 접속해 들어간다.
3) 텔레그램 다운로드 사이트처럼 보이는 곳에서 가짜 APK 파일을 다운로드 받는다.
이 때 APK 파일은 현재까지 두 가지 버전으로 발견됐다. 60MB짜리와 70MB짜리다. 둘 다 설치 후 진짜 텔레그램 앱처럼 작동한다. 하지만 뒤에서 여러 악성 기능을 실행시킨다. “높은 권한을 광범위하게 가져가고, 원격 명령 실행이 가능하게 되도록 준비를 합니다. 그런 후에는 공격자가 피해자 장비 안에서 활개칠 수 있게 됩니다.”
오래된 것들의 부활
여기서 주목해야 할 건 오래된 취약점 하나가 재등장했다는 것이다. 바로 야누스(Janus)라고 부르는 것으로, 안드로이드 5.0~8.0 버전에서 기승을 부린 바 있다. 야누스를 통해 공격자들은 유해 코드를 정상 APK 파일 안에 서명 변경 없이 주입할 수 있었다. 이번 캠페인에서도 악성 APK 파일들은 이 야누스 취약점 덕분에 서명에 영향을 주지 않은 채 악성 기능을 내포할수 있었다고 비포에이아이는 설명한다.
야누스 취약점의 공식 식별 번호는 CVE-2017-13156이다. APK 파일만이 아니라 DEX 파일도 임의로 조작할 수 있게 해 준다. 악성 앱이 정상적으로 보이게 하는 데 일등공신 취약점으로 한창 주가를 높였었다. 안드로이드 버전이 올라가면서 스리슬쩍 사라졌다. “이번에 발견된 악성 APK 파일들의 경우 오래된 기술로 서명돼 있었습니다. 그렇기 때문에 이 오래된 취약점이 되살아날 수 있었던 겁니다. 서명만 확인하는 고전적 보안 기술을 회피하기에는 충분합니다.”
비포에이아이는 공격자들이 오래된 파이어베이스(Firebase) 데이터베이스를 악용했다는 사실도 발견했다. “tmessages2(.)firebaseio(.)com이라는, 현재 비활성화 된 과거 데이터베이스에 악성 코드 일부가 호스팅 되어 있기도 했습니다. 이미 공격자들이 예전에 사용했다가 폐기한 거라 오프라인으로 유지되어야 맞습니다. 하지만 공격자가 같은 이름으로 새 파이어베이스 프로젝트를 생성하면 간단히 활성화됩니다. 새 프로젝트이지만, 과거 같은 이름의 데이터베이스 내 자원과도 연결이 되고, 그래서 공격자는 과거의 도구와 무기를 금방 재사용할 수 있게 됩니다. 같은 공격자가 아니더라도, 누군가 과거 다른 공격 조직의 파이어베이스 DB 이름만 알면 이런 식으로 반복 활용이 가능하게 됩니다.”
이 때문에 악성 캠페인은 얼마든지 부활할 수 있고, 실제 그런 사례들이 존재한다고 비포에이아이는 강조한다. “사라졌다고 생각했던 공격 도구, 사라졌다고 생각했던 공격 인프라나 취약점은 사실 사라지지 않습니다. 얼마든지 간편한 방법으로 되살아나는 게 현실입니다. 그렇기 때문에 보안은 현재의 위협만이 아니라 과거의 것까지도 염두에 두어야 합니다.”
한편 도메인의 분포도도 공개됐다.
1) .com : 316개
2) .top : 87개
3) .xyz : 59개
4) .online : 31개
5) .site : 24개
.com 도메인은 사용자들에게 가장 많은 신뢰를 받는다. 공격자들이 .com을 가장 많이 차용한 건 바로 이 때문인 것으로 추정된다. “그 외의 것들은 ‘저비용’이라는 특성을 가지고 있습니다. 악성 사이트를 대량으로 만들기 위해 .com 외에는 값싼 것들로 충당했을 겁니다.”
비포에이아이는 “APK 파일을 함부로 받지 못하도록 교육과 훈련도 해야 하고, 기업이 기술적으로도 조치를 취해야 한다”고 강조한다. “피싱은 점점 정교해지고 있습니다. 큐알코드, 타이포스쿼팅, 클라우드 서비스까지 전부 활용하고 있지요. 게다가 인공지능도 피싱을 강력하게 해주고 있기도 하죠. 대부분 사용자들이 ‘난 피싱에 속지 않는다’고 자부하는데, 실제로 공격자들 배를 가장 불리는 게 피싱이라는 걸 기억해야 합니다.”
