[보안뉴스 / 10.25.] 암호화폐 탈취 노린 북한 해커조직 제작 추정 악성 앱 발견

북한 코니 해커그룹 제작 추정…개인정보 및 암호화폐 탈취가 주 목적
2019년 코니 해커그룹이 유포했던 악성앱과 유사한 부분 많아

[보안뉴스 김영명 기자] 최근 북한의 사이버 공격 단체인 ‘코니(Konni)’ 해커 그룹이 제작해 공격에 활용한 것으로 추정되는 악성 앱이 많이 발견되고 있다. 이번 공격의 배후에 코니 해커 그룹이 있을 것으로 판단하는 이유는 2019년 코니 해커 그룹이 공격에 사용했던 악성 앱과의 유사점이 다수 발견됐기 때문이다.

▲Trojan.Android.AgentNK 악성 앱 이미지[이미지=이스트시큐리티]

이스트시큐리티 시큐리티대응센터(ESRC)는 암호화폐 탈취를 노리는 Trojan.Android.AgentNK 악성코드를 발견헀다며, 이번 공격의 궁극적인 목표는 피해자들의 암호화폐 탈취라고 주의를 당부했다.

북한의 이런 암호화폐 탈취를 위한 공격은 은밀하고 꾸준히 이루어지고 있으며, 북한이 이렇게 암호화폐 탈취에 혈안이 된 것은 무기 제작 등을 위한 자금 마련에 있는 것으로 추정된다.

이번 공격에 사용된 악성 앱은 2019년 코니 해커 그룹이 유포했던 악성 앱과 유사한 부분들이 다수 발견됐다. 과거 코니 해커그룹이 유포했던 악성 앱의 코드를 재사용하고 있다는 것을 알 수 있다.

▲과거 코드의 변수 사용, (좌부터) 2019년 악성 앱, 최근 악성 앱[이미지=이스트시큐리티]

과거 유포 악성 앱은 앱 프로텍트라는 보안 앱으로 위장해 공격을 진행했다. 이번에 발견된 악성 앱은 암호화폐 관련 앱으로 위장하고 있으나 내부 코드는 과거의 코드를 사용하고 있음을 알 수 있다. 또한, 과거 악성 앱과 특정 스트링을 동일하게 사용하고 있는 것으로 알려졌다.

▲동일 스트링 사용, (위부터) 2019년 악성 앱, 최근 악성 앱[이미지=이스트시큐리티]

과거 코니 해커 그룹의 앱에서 사용됐던 특정 스트링이 이번 공격의 악성 앱에서도 동일하게 사용되고 있는 것이다. 명령제어(C2) 서버의 명령을 해석해 수행하는 코드를 보여주고 있다.

▲C2 명령 수행 코드, (좌부터) 2019년 악성 앱, 최근 악성 앱[이미지=이스트시큐리티]

공격자의 명령을 수행하는 코드 또한 재사용된 것으로 보이며 수행하는 악성 기능도 매우 유사하다. 탈취한 정보를 저장하는 파일 리스트를 2019년에 나온 악성 앱과 최근에 발생한 악성 앱을 통해 비교해봐도 유사성이 많다.

▲탈취 정보 저장 파일 리스트, (좌부터) 2019년 악성 앱, 최근 악성 앱[이미지=이스트시큐리티]

과거 악성 앱과 이번 악성 앱들의 파일 이름이 동일한 것을 알 수 있다. 위에서 살펴본 유사점들로 인해 이번 공격에 활용된 악성 앱은 코니 해커 그룹이 제작한 악성 앱이라고 판단할 수 있다.  코니 해커 그룹이 유포한 이 악성 앱의 궁극적인 목적은 피해자의 개인정보를 탈취하고 이를 이용해 암호화폐 등의 금전 탈취에 있을 것으로 판단된다.

악성 앱을 설치하고 실행하면 암호화폐 사이트의 로그인 페이지가 노출된다. 이는 악성 앱이 정상적인 동작을 하는 것으로 위장하고 백그라운드에서는 피해자의 개인정보 탈취를 진행하기 위해서다. 악성 앱이 노출하는 암호화폐 거래 사이트와 해당 사이트의 접속 코드는 다음과 같다.

▲(좌부터) 암호화폐 거래 사이트 접속 화면과 접속 코드[이미지=이스트시큐리티]

악성 앱이 수행하는 주요 악성 기능은 △기기 정보 탈취 △계정 정보 탈취 △설치 앱 리스트 탈취 △연락처 탈취 △SMS 탈취 △C2 명령 수행 등이 있다. 악성 앱이 설치 완료되면 이 앱은 백그라운드에서 공격자의 명령을 수행하기 위해 대기하게 된다.

▲(좌부터)C2 명령 리스트와 C2 명령 수행 코드[이미지=이스트시큐리티]

위의 표는 C2의 명령어 리스트와 함께 해당 명령을 해석해 수행하는 코드의 일부를 보여준다. 수행 코드는 △0 탈취 정보 업로드 △1 파일 다운로드 △2 파일 삭제 △3 SMS 삭제 △4 SMS 전송 △5 앱 실행 △6 앱 설치 △7 앱 제거 △8 팝업 창 실행 △9 웹 접속 △10 화면 제어(밝기 조절) △11 볼륩 조절 등으로 구성된다.

다음은 명령 수행 시 탈취 정보를 저장할 파일의 리스트다. 악성 앱은 수집되는 각 정보를 다음 리스트에 존재하는 파일에 저장한 후 공격자의 명령이나 앱에 설정된 주기에 따라 C2로 전송한다. 스파이 행위 초기화 코드에 존재하는 ‘OK, My Spy’라는 스트링은 코니 해커 그룹이 이전 공격에서 유포한 앱과 변종들에서도 공통으로 발견됐던 특징이다. 위의 주요 악성 행위에서 살펴봤듯이 악성 앱은 다양한 스파이 행위를 수행하게 된다.

▲(왼쪽 위부터 시계방향으로) 탈취 정보 저장 파일 리스트-악성 앱 초기화 코드-기기 정보 탈취 코드[이미지=이스트시큐리티]

대부분의 개인정보 탈취 악성 앱들은 피해자를 식별하기 위해 피해자 식별이 가능한 개인정보를 탈취해 이를 기반으로 탈취 정보를 관리하게 된다. 다음은 SMS의 수신 및 발신 내역을 탈취하는 코드의 일부다. 코드는 수신된 SMS와 발신 SMS 모두 저장한다. 기기에 설치된 앱들의 정보를 수집하는 코드, 피해자의 연락처 정보를 수집하는 코드, 피해자의 계정 정보를 수집하는 코드를 살펴보면 다음과 같다.

▲(왼쪽 위부터 시계방향으로) 앱 리스트 탈취 코드-연락처 탈취 코드-계정정보 탈취 코드[이미지=이스트시큐리티]

피해자의 계정 정보를 수집하면 기록한 파일을 업로드하게 되고, 공격자의 명령에 따라 SMS를 삭제한다. 이후 공격자의 명령에 따라 SMS를 발신하게 되며, 공격자의 명령이 있을 경우 동작하는 코드로 발신 문자 내용은 C2를 통해 전달한다.

▲(왼쪽 위부터 시계방향으로) 파일 다운로드 코드-파일 삭제 코드-앱 실행 코드-앱 설치 코드[이미지=이스트시큐리티]

공격자는 피해자의 스마트폰에서 개인정보를 탈취하는 것 이외에 몇 가지 제어 기능을 수행한다. 공격자의 명령에 따라 추가적인 악성 앱을 설치하고 화면이나 볼륨을 제어하여 추가적인 악성 행위를 수행할 수 있다.

코니(Konni) 조직의 모바일 공격은 지속해서 이어지고 있으며, 과거에는 정보 탈취가 주요 목적이었다면 최근 공격의 주요 목표는 금전 탈취에 있는 것으로 보인다.

해당 악성 앱도 암호화폐 거래와 관련된 앱으로 위장해 설치 시 국내 암호화폐 거래소의 웹페이지를 노출하게 된다. 그 이후 백그라운드에서 피해자의 개인정보를 탈취하며 이를 이용해 암호화폐 거래소에 예치된 금전 탈취가 최종 목표일 것으로 추정된다.

이런 악성 앱들의 공격에 피해를 입지 않기 위해서는 사전 예방을 위한 노력이 중요하다. 스마트폰을 사용하는 사람들은 스스로 보안의식을 고취시킬 필요가 있으며 악성 앱에 대한 경각심을 가져야 한다.

공격에 대한 예방 방법은 문자 내의 URL 링크를 클릭하지 않거나 내려받기한 악성 앱을 설치하지 않고 그냥 삭제하면 된다. 또한, 신뢰할 수 있는 백신 앱을 설치해 사용하는 것도 피해를 예방하는데 도움이 된다.

이스트시큐리티 관계자는 “악성 앱 공격의 예방 방법으로는 △출처가 불분명한 문자나 URL을 수신한 경우 링크 클릭 자제 △링크를 클릭하기 전 정상 사이트의 도메인과 일치하는지 확인 △휴대폰 번호, 아이디, 비밀번호 등의 개인정보는 신뢰된 사이트에서만 입력 등이 있다”며 “또한, 악성 앱 감염 시 대응 방법은 △악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행 △악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제 △백신 앱이 악성 앱을 탐지하지 못했을 경우 백신 앱의 ‘신고하기’ 기능을 사용하여 신고하고 수동으로 악성 앱을 삭제하는 방법 등이 있다”고 설명했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>