장비 생산 및 유통 구조에 끼어들어 멀웨어를 심고, 이를 통해 수백만 대의 안드로이드 장비를 감염시킨 뒤 돈을 버는 악성 사업 조직이 발견됐다. 이미 수년 전부터 진행되어 온 일인데, 갈수록 악독해지는 중이다.
[보안뉴스 문가용 기자] 전 세계 수백만 명의 안드로이드 사용자들은 자신도 모르게 레몬그룹(Lemon Group)이라는 자들의 지갑을 뚱뚱하게 만들어주고 있다. 그냥 안드로이드 기반 장비를 가지고 있다는 것만으로 말이다. 이들의 비결은 안드로이드 장비가 출시되기 전에 미리 감염시켜두는 것이다. 이런 방법으로 각종 정보를 빼돌려 판매하거나, 광고를 다량으로 노출시키거나, 각종 유료 서비스에 피해자를 가입시킨다고 한다.
![[보안뉴스 / 5.19.] 아직 가게 진열대에 있는 새 안드로이드 장비, 이미 감염됐을 수 있다](http://www.boannews.com/media/upFiles2/2023/05/861495798_9128.jpg)
[이미지 = gettyimagesbank]
레몬그룹은 스스로 900만 대의 안드로이드 장비들을 감염시켰다고 자랑한다. 하지만 보안 업체 트렌드마이크로(Trend Micro)는 실제 감염된 장비들의 수가 그것보다 훨씬 높을 거시알고 보고 있다. 레몬그룹은 자신들이 감염시킨 도구를 일종의 공격 인프라로서 거느리고 있으며, 이를 다른 사이버 범죄자들에게 대여하는 사업을 하고 있기도 하다.
감염된 장비라는 사업 아이템
최근 들어 안드로이드 장비를 미리 감염시키는 수법으로 수익을 올리는 그룹들이 제법 나타나기 시작했고, 레몬그룹도 그 중 하나다. 트렌드마이크로는 게릴라(Guerrilla)라고 하는 멀웨어에 감염된 암드로이드 장비를 조사하는 과정에서 이러한 ‘돈 벌이 방법’이 있음을 알게됐고, 곧 레몬그룹을 뒤쫓기 시작했다고 한다. “180개가 넘는 나라의 안드로이드 사용자들이 당했더군요. 전체 피해자의 55%는 아시아에 있었고, 17%는 북미에 있었으며, 10%는 아프리카에 있었습니다. 안드로이드 장비 제조사들 중 50여 개가 공격에 악용되고 있었습니다. 중저가형 모델들이 거의 전부이기도 했습니다.”
트렌드마이크로는 “레몬그룹과 같은 공격자들은 안드로이드 사용자들에게 크나큰 위협으로 꾸준히 성장하고 있다”고 경고한다. “지금까지는 주로 안드로이드 스마트폰 사용자들만이 레몬그룹과 같은 자들에게 노출이 되어 있었지요. 지금은 안드로이드 기반 스마트TV 등 보다 다양한 기기들에까지 영향을 미치고 있습니다. 안드로이드 기반 스마트워치도 안심할 수 없습니다.”
사실 오래된 감염 기법
멀웨어가 이미 설치된 채로 새 장비들이 소비자들에게 판매된다는 문제는 이미 수년 전부터 지적되어 왔다. 안드로이드라는 오픈소스 운영 체제를 가지고 다양한 안드로이드 기반 제품을 만드는 기업들이 원래 안드로이드에는 없는 기능을 추가하는 경우들이 있는데, 이 작업을 스스로 하기도 하지만 외주로 처리하기도 한다. 서드파티 개발사에게 주문을 넣고, 서드파티 개발사는 요구에 맞게 개발을 진행하는데, 공격자들이 이 복잡한 과정 중에 개입하여 악성 요소를 슬며시 넣는 경우들이 꽤나 많이 벌어지고 있다. 그 종류도 다양한데 주로 정보 탈취나 광고 노출 기능을 가진 것들로 이뤄져 있다.
주로 유명하지 않은 기업에서 만드는 중저가 장비들의 생산 및 유통 과정 중에 이런 식의 악의적 개입이 발생하지만, 그렇다고 대기업의 유명 브랜드들이 안전하기만 한 것은 아니다. 2017년 보안 업체 체크포인트(Check Point)는 국제적인 기업들에서 만든 37가지 종류의 안드로이드 장비가 시장에 나올 때 이미 멀웨어에 감염된 상태였다는 내용의 보고서를 발표하기도 했다.
미리 설치된 멀웨어, 갈수록 위험해져
미리 설치된 멀웨어라는 게 고질적인 문제이지만 좀처럼 해결되지 않는 이유 중 하나는, 이런 식으로 침투하는 멀웨어가 위험하다는 생각이 약하기 때문이다. 대부분 원치 않는 광고를 계속 노출시키는 것이기 때문에 더 그렇다. 하지만 최근에 와서는 사정이 달라지고 있다. 고급 트로이목마인 트리아다(Triada)가 이런 식으로 퍼지고 있는데, 이 트리아다는 RAM에서만 작동해 탐지도 잘 되지 않는다. 공격자들은 이 트리아다를 통해 문자 메시지나 각종 거래 내역, 비밀번호 등을 훔치고 광고마저 계속 화면으로 내보낸다.
그런 와중에 이번에 발견된 게 게릴라인 것인데, 이 게릴라 역시 꽤나 고차원적인 멀웨어라고 할 수 있다고 보안 업체 트렌드마이크로는 설명한다. “게릴라는 자이고트(Zygote) 프로세스를 조작합니다. 그렇게 했을 때 피해자 장비에 설치된 모든 앱의 일부가 될 수 있기 때문입니다. 게다가 필요에 따라 플러그인을 추가할 수 있는 구조를 갖추고 있기도 합니다. 즉 게릴라를 통해 공격자가 할 수 있는 일이 무제한이나 다름이 없다는 겁니다.”
이 때문에 기업에서는 임직원이 회사 네트워크에 연결시키는 모바일 장비에 대해서 더 신경을 써야 하는 상황이다. 엔드포인트 탐지 기술을 적용하고, 각종 모바일 트래픽을 모니터링 하며, 중요한 데이터에는 개인 장비로 접근하지 못하게 하는 등의 수단들을 강구하는 것을 보안 전문가들은 권한다. 가장 확실한 건 업무용 모바일 장비를 회사 차원에서 마련하여 나눠주고 관리하는 것이긴 하다. 그렇게 했을 때 장비에 대한 검사와 관리를 기업이 보다 주도적으로 할 수 있게 된다.
3줄 요약
1. 중저가 안드로이드 생태계 노리는 해킹 그룹, 레몬그룹.
2. 레몬그룹은 일부 안드로이드 장비들이 유통되기도 전에 멀웨어를 심음.
3. 이런 식으로 장비들을 감염시킨 뒤 여러 방법으로 수익을 창출.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 5.19.] 아직 가게 진열대에 있는 새 안드로이드 장비, 이미 감염됐을 수 있다](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
