아카마이가 자사의 프로렉식 보안 엔지니어링 및 대응팀(이하, PLXsert)을 통해 새로운 사이버 보안 위협 경고를 발표했다.
이번 경고는 기업, 정부 및 개인들의 엑서(Xsser) 모바일 원격 액세스 트로이목마에 관한 것으로 iOS와 안드로이드 기기를 대상으로 한다. 엑서 앰랫(Xsser mRAT)으로 불리는 이 악성코드는 중간자(man-in-the-middle)와 피싱 공격을 통해 확산하며 특정 위치별 공격을 위해 휴대폰 기지국을 도청할 수 있다.

아카마이의 스튜어드 스콜리(Stuart Scholly) 보안사업부 수석 부사장은 “액서 앰랫은 모바일 장치를 대상으로 하는 정교한 악성 바이러스”이라며 “공격자들은 구글과 애플 앱 스토어를 가장하거나 소셜 엔지니어링을 이용해 사용자들이 액서 원격 액세스 트로이목마와 같이 확인되지 않은 애플리케이션을 디바이스에 내려받도록 위장한다. 예를 들어 악성 소프트웨어를 퍼뜨리기 위해 위조된 플래피 버드(Flappy Bird) 애플리케이션을 제공하는 식으로 진행된다”고 말했다.
탈옥한 iOS 위험
탈옥은 사용자가 다른 애플리케이션 스토어에서 응용 프로그램을 설치할 수 있도록 iOS의 제약 및 보안 검사를 제거하는 것이다. 예를 들어 중국에서는 타사의 한자 키보드 애플리케이션을 사용하기 위해 60만 개의 iOS 장치 중 14%가 탈옥한 것으로 집계됐다. 이렇게 탈옥한 휴대폰은 악성 코드에 노출될 위험이 훨씬 크다.


모바일 원격 액세스 트로이목마: 엑서 앰랫(Xsser mRAT)
앞서 안드로이드 기기를 겨냥했던 엑서 앰랫은 이제 탈옥한 iOS 기기를 노리고 있다. 애플리케이션은 탈옥 아이폰의 가장 인기 있는 타사 애플리케이션인 씨디아(Cydia)의 악성 저장소를 통해 설치된다. 악성 번들이 한번 설치 및 실행되면 사용자들은 애플리케이션을 삭제할 수 없으며, 앰랫은 서버 검사를 실행하면서 원격 조정으로 장치에서 데이터를 빼낸다.

스콜리 부사장은 “원격 조정 소프트웨어가 설치된 휴대폰은 감시, 로그인 정보 유출, 디도스(DDoS) 공격 등 여러 위험에 노출돼 있다”면서 “전 세계적으로 스마트폰 사용자는 10억 명에 달하므로 이러한 종류의 악성코드는 개인 정보 보호 및 불법 행위와 관련해 엄청난 위험을 초래할 수 있다”고 말했다.


최상의 보호는 감염 예방
개인 사용자들이 휴대폰의 악성코드 감염 여부를 파악하는 것은 어렵기 때문에 예방 조치에 초점을 맞춰야 한다. VPN(가상사설망) 서비스, 이중 인증, P2P 근접 네트워킹, 상업 휴대폰 보안 애플리케이션 등을 이용하면 일정 수준의 휴대폰 보호가 가능하다. 또한, 무료 와이파이 핫스팟 및 자동 연결사용 금지, 휴대폰 탈옥 금지, 신뢰할 수 없는 출처의 애플리케이션 다운로드 금지 등도 권고되고 있다.


새로운 악성 툴 ‘윰바 웹인젝트’ 금융사기 경고
이와 함께 아카마이는 자사 프로렉스 보안 공학 및 대응팀(이하 PLXsert)을 통해 새로운 사이버 보안 위협 경고를 발표했다. 이번 경고는 은행과 기업들의 금융사기에 사용된 윰바 웹인젝트(Yummba Webinject) 툴에 관련된 것이다. 제우스 크라임웨어(Zeus Crimeware)는 악성코드 생성 툴킷으로, 은행 자격 증명 해킹, 디도스 공격에 대한 봇넷 구축, PaaS 및 SaaS 인프라 공격과 같은 사이버 범죄 유형에서 호스트(좀비)를 제어하는 데 사용됐다.

그러나 윰바 사용자 정의 웹인젝트의 추가된 기능은 이보다 훨씬 위험한 악성코드를 생성한다. 웹인젝트 공격은 계좌 및 권한 정보 도용과 같은 간단한 공격부터 공격자 제어 계정에 자동 송금 기능을 걸어놓는 ATS엔진(ATSEngine) 사용 공격까지 방법이 다양하다. 각각의 윰바 웹인젝트는 뱅킹 사용자들을 쉽게 속이기 위해 특정 금융기관 웹사이트의 모양과 느낌에 맞게 커스터마이즈된다.

무엇보다 윰바 웹인젝트는 제3자 계정에 피해자의 자금이 입금되도록 설계된 악성 자동 전송 시스템(ATSEngine)과 함께 작동된다. 윰바 웹인젝트를 사용해 웹 화면에 동적 콘텐츠를 삽입하면, 고객이 온라인 뱅킹 서비스를 이용할 때 사용자 페이지에서 개인 정보를 가져와 즉각적이며 자동으로 계좌에서 돈을 빼낼 수 있다.
프로렉스 보안 공학 및 대응팀(PLXsert)이 발표한 경고 보고서의 내용은 다음과 같다.
- 웹인젝트 작동 경로
- 제우스(Zeus) 및 ATSengine과 같은 공동 악성코드
- 코드 분석
- 도난 데이터의 종류
- 취약성 완화
아카마이의 스튜어드 스콜리(Stuart Scholly) 보안사업부 수석 부사장은 “프로렉스 보안 공학 및 대응팀(PLXsert)은 활성화된 웹인젝트가 접근할 수 있는 금융기관이 100개가 넘는다는 것을 확인했으며 대부분 북미와 유럽의 중대형 금융기관들”이라면서 “공격을 예방하는 데에는 사용자 교육과 향상된 보안 및 시스템 강화를 비롯해 국제 협력 및 지역 사회 차원의 정리가 필요하다”고 말했다. 한편 프로렉스 보안 공학 및 대응팀(PLXsert)은 언더그라운드 크라임웨어 시스템이 수많은 인터넷 이용 장치를 이용해 윰바 웹인젝트와 같은 더 강력하고 새로운 도구를 계속해서 만들어낼 것으로 예측했다. ES