파이어아이(지사장 전수홍, www.fireeye.kr)는 전세계적으로 확산되고 있는 안드로이드폰 대상 해킹 공격 2건을 포착했다고 밝혔다.

첫 번째 공격은 악성 애드웨어를 이용하여 사용자의 안드로이드폰에 침입하고, 통제하는 수법을 이용했으며, ‘NGE Mobi/Xinyinhe’라는 중국 모바일 애플리케이션 광고 회사를 공격 주체로 추정한다고 전했다.

공격 그룹은 유명 애플리케이션을 리패키지하며 악성 로직을 심어 배포한 뒤, 이를 다운받은 스마트폰에 침입하는 수법을 이용했다. 사용자가 스마트폰에 악성 애플리케이션 다운받으면, 멀웨어(Malware)와 악성 페이로드(Payload)가 침입하여 디바이스 관련 정보를 원격 서버에 업로드 한다. 그리고 나서, 특정 URL로부터 사용자의 스마트폰으로 ‘루트 마스터(Root Master)’라는 패키지명의 APK를 받아 루팅 작업을 진행한다. 루트 권한을 획득한 후에는, ‘rsh’라는 셸 스크립트(Shell Script)를 시행하여 루트 백도어를 삽입하고, ‘install-recovery.sh’를 변경 불가능하게 만들어 결국 애플리케이션을 스마트폰에서 제거할 수 없도록 만든다. 이로써 공격그룹은 사용자의 스마트폰에 영속적으로 머물며 자유자재로 제어할 수 있게 된다.

파이어아이는 이번 공격의 배후에 중국 모바일 애플리케이션 광고 회사, NGE xinyinhe가 있다고 추정하며, 사례 분석을 통해 몇 가지 증거를 확보했다고 전했다. 서버 인증서 정보를 분석한 결과, 공격에 사용된 인증서 중 하나의 도메인명(CN, Common Name)이 ‘ngstream’이었다. 여기서 ‘ng’는 ‘new galaxy’를 의미하며, 이는 공격 그룹이라고 추정되는 회사명인 ‘xinyinhe’의 영문명이다. 인증서의 기관 항목(Organization) 역시 ‘xinyinhe’였다고 밝혔다. 또한, NGE Xinyinhe의 애플리케이션 리패키징 도구와 해킹에 사용된 서버 인증서에 상응하는 키를 발견하였는데, 이는 이 중국 회사가 공격에 배후에 있다는 결정적인 증거다. 마지막으로, 해킹 사례가 발견된 주요 채널은 xinyinhe가 참여하고 있는 거대 광고 협력 네트워크였다. 이 역시 같은 공격 배후를 지목하고 있다고 덧붙였다.

사용자의 스마트폰에 침입한 애드웨어는 스마트폰에 특정 애플리케이션을 자동으로 다운받거나, 사용자가 APK 설치 버튼을 클릭하도록 유도한다. 이를 통해, NGE Xinyinhe는 그들이 광고하는 애플리케이션의 다운로드 수를 올리고, 광고 메시지를 계속적으로 제공하며 수익을 올린 것으로 알려졌다.

악성 애드웨어는 안드로이드 2.3.4.버전부터 5.1.1.버전에 걸쳐 영향을 미쳤으며, 이는 현재 이용되는 거의 모든 안드로이드 버전을 포함한다. 또한, 아마존, 메모리 부스트, 클린 마스터, 플래시라이트 등 300개가 넘는 애플리케이션이 리패키지 되어 악성 애플리케이션으로 배포됐다.

이어 파이어아이는 이와 유사한 수법의 안드로이드 대상 악성 애드웨어 ‘Kemoge’를 추가로 발견했다. ‘Kemoge’ 역시 유명 애플리케이션으로 리패키징 되어 사용자의 스마트폰에 침입한 후, 루팅 작업을 통해 영속적으로 스마트폰에 접근하고 제어하는 애드웨어이다. 몇몇 침해 사례에서는 루팅 과정에서 NGE xinyinhe 이용한 ‘루트 마스터’가 사용된 것으로 밝혀져, 두 악성 애드웨어는 상당히 유사한 수법을 이용했다고 보여진다.

파이어아이는 현재 ‘Kemoge’ 이용 침해 사례의 코드에 중국 간체자가 포함된 것과 침해 사례가 발견된 애플리케이션의 개발자 이름이 Zhang Long인 것을 근거로 이것이 중국발 공격이라고 추정한다고 전했다. 또한, 한국을 포함하여 전세계 20여개 국이 ‘Kemoge’ 침해 영향권 아래 있으며, 정부 기관과 대기업이 주요 공격의 대상으로 포함됐다.

파이어아이 코리아 전수홍 지사장은 “안드로이드폰을 완전히 통제하는 악성 애드웨어들이 발견됨에 따라, 전 세계의 수 많은 안드로이드폰이 위협에 노출된 상태”라며, “해킹 위협으로부터 모바일 기기를 지키기 위해서 공식 앱스토어가 아닌 채널을 통해 애플리케이션을 다운받는 것은 지양하고, 최신 버전의 안드로이드OS를 이용해야 한다"고 덧붙였다.

보다 자세한 정보는 파이어아이 공식 블로그(https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html)에서 확인할 수 있다.