2016년 8월 30일(화)



유럽의 엔드포인트 보안 전문 업체인 ESET(이셋)의 국내 법인인 (주)이셋코리아 (대표: 김남욱,http://www.estc.co.kr)는 트위터에 의해 제어되는 안드로이드 백도어 트로이 목마가 발견되어 주의를 요한다고 전했다.



이번에 발견된 악성코드는 ESET 에 의해 Android/Twitoor 로 탐지되며, 기존의 악성코드가 C&C 서버와의 통신에 의해 제어되는 것과는 달리, 트위터를 사용하여 제어되는 첫 번째 안드로이드 악성 앱이다. 일단 악성코드가 실행되면 시스템에서 자신의 존재를 숨기고, 공격자의 명령을 받기 위해 미리 지정된 트위터 계정을 주기적으로 확인하며, 이 후 수신된 명령을 기반으로 추가 악성 앱을 다운로드하거나 기존의 C&C 트위터 계정을 다른 계정으로 변경하여 의심을 회피한다.


이 악성코드는 안드로이드 기기에서 봇넷을 제어하기 위해 트위터를 사용하는 매우 혁신적인 기법이 적용되어 있는데, 이처럼 소셜 네트워크를 기반으로 하는 C&C 통신 채널을 사용할 경우 이를 발견하고 차단하기가 매우 어려우며, 아울러 C&C 계정을 변경함으로써 C&C 통신 채널의 이동이 용이하다. 


트위터는 2009 년에 윈도우 봇넷을 제어하기 위해 처음 사용된 바 있으며, 블로그나 구글 등 다양한 클라우드 메시징 서비스를 이용하여 제어되는 안드로이드 봇이 발견된 적은 있지만, 이번에 발견된 악성코드는 안드로이드에서 트위터 등 소셜 네트워트 서비스가 사용된 첫 번째 사례로 기록될 것이다. 아울러 트위터 뿐만 아니라 페이스북, 링크드인 등 다른 소셜 네트워크를 이용할 수 있다는 것도 예측할 수

있다.


Android/Twitoor 는 2016 년 7 월부터 활동하고 있는데, 공식적인 안드로이드 앱 스토어에서는 발견되지 않았으며 아마도 SMS 또는 악성 URL 을 통해 확산되는 것으로 추정된다. 현재 Twitoor 트로이 목마는 모바일 뱅킹을 대상으로 한 악성코드의 다양한 버전을 다운로드하고 있지만, 공격자의 의도에 따라 언제든지 랜섬웨어를 포함한 다른 악성코드를 유포할 수 있다.


(주)이셋코리아의 김남욱 대표는, "사이버 범죄자들이 그들의 목적을 달성하기 위해 혁신적인 공격 방법을 끊임없이 찾고 있다는 것을 알려주는 좋은 예이다. PC 뿐만 아니라 모바일 기기에서도 성능이 검증된 보안 솔루션을 사용하는 것이 필요하며, 보안 수준을 높이기 위한 활동을 계속해야 한다." 고 주의를 언급했다.



사업자 정보 표시
ESET KOREA operated by ESTC | 이창규 | 서울시 송파구 송파대로 167 테라타워1 A동 521호 | 사업자 등록번호 : 264-81-44862 | TEL : 02-567-0510 | Mail : sales@estc.co.kr | 통신판매신고번호 : 제2015-서울서초-0624호 | 사이버몰의 이용약관 바로가기
블로그 이미지

이셋코리아

Progress.Protected ESET KOREA operated by ESTC 공식 블로그입니다.

,