사이버 보안의 글로벌 리더인 ESET(이셋)의 국내 법인 이셋코리아(www.estc.co.kr)는 안드로이드 맬웨어가 레이더에 노출되지 않도록 하는 매우 은밀하지만 놀랍도록 간단한 기술을 발견했다고 밝혔습니다.
ESET 연구진은 당시 안드로이드 공식 앱스토어에서 제공되는 DEFENSOR ID 앱을 분석한 결과 이 앱이 안드로이드OS의 ‘접근성 서비스’를 악용했지만 사용자가 의심할만한 권한을 요구하지 않았으며 다른 악성 기능 역시 없다는 사실을 알게 되었습니다.
DEFENSOR ID 분석을 수행한 ESET 맬웨어 연구원 Lukáš Štefanko는,
“접근성 서비스 기능은 오랫동안 안드로이드 OS의 아킬레스건으로 알려져 있으며 이에 따라 ESET의 보안 솔루션은 악성 행위를 나타내는 다른 지표와 이 취약점을 악용하는 다양한 조합을 탐지할 수 있도록 개선되었습니다.”
라고 설명했습니다.
접근성 서비스 위에 추가 기능이나 의심스러운 권한이 표시되지 않은 맬웨어에 대해 현재까지 알려진 모든 보안 메커니즘이 경보를 트리거하지 못했습니다. 결과적으로 DEFENSOR ID는 Google Play 스토어에 등록되어 몇개월 동안 남아 있었으며 VirusTotal 프로그램에 참여한 어떠한 보안 업체도 이를 감지하지 못했습니다.
Štefanko는,
“이것은 우리에게 귀중한 교훈이 되었습니다. 우리는 DEFENSOR ID에 대해 배운 내용을 바탕으로 탐지 기술을 미세하게 조정하여 탐지 영역이 매우 낮은 악성 코드도 탐지할 수 있게 되었습니다.”
라고 덧붙였습니다.
DEFENSOR ID는 극도로 은밀하다는 점 외에도, 피해자에게 심각한 피해를 줄 수 있습니다. 그것은 뱅킹 트로이목마 맬웨어 범주에 속하며 매우 교묘합니다. 일단 설치되면 피해자가 한가지 행위만 하더라도 그 악성 기능을 온전히 발휘하게 됩니다.
Štefanko는,
“사용자가 접근성 서비스를 활성화하면 DEFENSOR ID는 다른 악성 행위 중에 공격자가 공격 대상자의 은행 계좌 또는 암호 화폐 지갑을 정리하고 이메일이나 소셜 미디어 계정을 탈취할 수 있는 기반을 마련할 수 있습니다.”
라고 지적했습니다.
ESET의 공지에 따라 Google은 공식 Android 앱스토어에서 DEFENSOR ID를 제거했습니다.
“우리는 방어자가 초저단면 안드로이드 맬웨어에 대처할 수 있도록 돕기 위해 이 맬웨어에 대한 조사 결과를 발표하기로 결정했습니다. 이러한 맬웨어 제작자들은 Google Play와 사용자 기기 모두에서 강화된 보호 기능에 직면하게 될 것입니다.”
라고 결론을 맺었습니다.
대한 자세한 내용은 WeLiveSecurity 블로그 게시물 블로그 게시물 Insidious Android malware gives up all malicious features but one to gain stealth 를 참고하십시오. ESET Research의 최신 뉴스를 보려면 Twitter에서 ESET Research를 팔로우하십시오.
'ESET NEWS > NEWS' 카테고리의 다른 글
| ESET(이셋), 사이버스파이 그룹 Turla(일명 Snake)의 ComRAT 백도어의 신종 발견 (0) | 2020.06.17 |
|---|---|
| ESET(이셋), Winnti Group이 비디오 게임 개발사를 타겟으로 하는 공격 발견 (0) | 2020.06.05 |
| ESET(이셋), 중앙아시아에서 주요 표적을 공격하는 백도어 스파이 Mikroceen발견 (0) | 2020.05.20 |
| ESET(이셋), 사이버 스파이 프레임워크인 Ramsay 발견 (0) | 2020.05.20 |
| ESET(이셋), 코로나19 전염을 악용하는 Grandoreiro 트로이목마 주의 권고 (0) | 2020.04.30 |
셈틀씨
Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.