랫온, 잘못된 사상을 가진 자가 부지런할 때가 제일 무서운 법
- 새 안드로이드 뱅킹 멀웨어 랫온, 빠르게 진화 중
- 기본만 하던 멀웨어가 어느 새 고유 기능 덧입어
- 최신 트렌드도 간과하지 않아
새 안드로이드 멀웨어인 랫온(RatOn)이 무섭게 진화하고 있다는 경고가 나왔다. 원래는 근거리 무선 통신(NFC) 릴레이 공격을 수행하던 멀웨어였는데, 지금은 자동 이체 시스템(ATS) 기능까지 갖춘 원격 접근 트로이목마(RAT)로 발전했다는 것이다. 이는 간단히 말해 ‘오래된 공격 기술만 갖춘 기초적인 멀웨어가 독특하고 고유한 위협으로 변모했다’는 것으로 정리할 수 있다.
랫온?
랫온은 기본적으로 ‘뱅킹 트로이목마’다. 특히 메타마스크(MetaMask), 트러스트(Trust), 블록체인닷컴(Blockchain.com), 팬텀(Phantom) 등의 암호화폐 지갑 애플리케이션을 노려 계정 탈취 공격을 수행한다. 여기에 더해 체코 은행 애플리케이션(George Česko)을 악용해 자금 이체 공격도 실행할 수 있다.
그게 다가 아니다. 랜섬웨어와 유사한 공격도 가능하다. 랜섬웨어에 당한 것처럼 보이는 화면을 띄우는, 일종의 오버레이 공격을 할 수 있다는 것으로, 이는 다른 안드로이드 트로이목마들에서도 조금씩 나타나는 현상이다. 진짜 랜섬웨어는 아닌데, 랜섬웨어에 당한 것처럼 보이게 만들어 피해자들을 압박하는 전략이다. 랫온도 이런 최신 트렌드를 부지런히 입수한 것이라고 할 수 있다.
위 단락의 키워드는 ‘부지런히’이다. 왜냐하면 랫온의 개발자가 매우 부지런한 것으로 보이기 때문이다. 랫온의 샘플이 처음 발견된 건 올해 7월 5일인데, 현재까지 여러 종류의 아티팩트들이 다량으로 발견되고 있다. 이는 개발자가 부지런히 개발하고 실험하면서 각종 메모와 자료를 남기고 있다는 의미다. 그런 사람이 개발하니 최신 트렌드까지 갖춘 것이다. 이런 멀웨어들은 처음에는 별 주목을 받지 못하다가도 어느 덧 빠르게 성장해 커다란 위협이 되기에 이른다.
현재까지 랫온은 가짜 플레이스토어를 통해 퍼지고 있는 것으로 조사되고 있다. 특히 틱톡의 성인 기능인 ‘틱톡 18+’로 위장돼 있다. 마치 틱톡 18+를 별도 앱으로 다운로드 받을 수 있는 것처럼, 가짜 플레이스토어 페이지에 올려둔 것인데, 여기에 꽤나 많은 사람들이 속은 것으로 보인다. 다만 공격자가 현재로서는 체코어와 슬로바키아어 구사자들만을 노리고 있어 피해가 확산되지는 않았다.
감염 경로
위의 가짜 스토어 페이지에 속아 설치를 시작하면 제일 먼저 피해자 시스템에는 드로퍼 앱이 깔린다. 드로퍼 앱은 사용자에게 ‘출처를 알 수 없는 애플리케이션을 설치’할 수 있는 권한을 요구한다. 여기서 먼저 수상함을 느껴야 하나, 그렇지 않은 사용자라면 다음 단계로 넘어간다. 두 번째 페이로드가 원격 호스트에서부터 다운로드 된다.
이 2단계 페이로드 역시 피해자에게 몇 가지 권한을 요구한다. 장치 관리자 및 접근성 서비스, 연락처 읽기 및 쓰기, 시스템 설정 관리에 관한 것들이다. 이 권한들 전부 이후에 있을 공격에 악용된다. 다음으로는 3단계 악성코드인 엔에프스케이트(NFSkate)가 다운로드 된다. 엔에프스케이트는 NFC 릴레이 공격을 수행하는 기능을 가지고 있다. 엔에프스케이트의 경우 2024년 11월부터 보안 업계들에 알려져 있었다.
NFC 릴레이 공격이란, 두 개의 NFC 장비 사이에 벌어지는 통신을 공격자가 중간에서 가로채는 것을 말한다. 예를 들어 NFC 기능을 지원하는 스마트폰과, 마찬가지로 NFC를 지원하는 지불 단말기 사이에 오가는 신호들을 공격자가 가로채 조작하는 것이다. 스마트폰으로 결재를 하기 위해 단말기에 스마트폰을 갖다 대는 순간, 원래는 스마트폰에서 지불 시스템으로 전달되어야 할 정보가 공격자에 의해 변질되거나 다른 곳으로 이동한다. 그러면서 금전적 손실이 일어나지만, 피해자 입장에서는 스마트폰으로 평소와 같은 결재를 했을 뿐, 수상함이 느껴지지 않는다. 모바일 뱅킹 멀웨어 대부분 수행할 수 있는 기능이다.
은행 애플리케이션의 악용
NFC 릴레이 공격을 하는 것에서 그쳤다면 랫온은 크게 주목받지 못했을 것이다. 하지만 위에서 언급했다시피 랫온 최신 버전은 한 체코 은행 애플리케이션을 악용해 자동 이체를 실시하기도 한다. 이는 “공격자가 해당 애플리케이션의 내부 구조를 매우 잘 이해하고 있다는 걸 보여준다”고 보안 업체 쓰레트패브릭(ThreatFabric)은 짚는다.
이 기능은 랫온만이 가지고 있는 고유한 특성이자 강점이다. 엔에프스케이트처럼 이미 예전부터 알려진 악성 기능을 가져다 쓴 게 아니라, 랫옷 개발자가 직접 만들어 삽입한 것이라고 쓰레트패브릭 측은 강조한다. “그 어떤 안드로이드 뱅킹 멀웨어와 유사한 점이 없습니다. 개발자가 코드를 처음부터 새롭게 짰을 가능성이 높습니다. 그만큼 부지런하고 실력도 좋다고 할 수 있습니다.”
이런 두 가지 공격에 더해 랫온은 사용자 휴대폰 화면에 “귀하가 아동 포르노를 시청하고 배포했기 때문에 스마트폰을 잠근다”는 경고 메시지를 띄우기도 한다. “화면을 복구시키려면 200달러를 암호화폐로 지불해야 한다”는 내용도 포함돼 있다. 일종의 협박 메시지인데, 이는 기존 화면을 가짜 화면으로 덧씌우는 ‘오버레이’ 공격이다.
이 ‘유사 랜섬웨어’ 공격에는 함정이 있다. 피해자가 겁을 먹고 200달러를 입금하도록 하는 게 진짜 목표가 아니라 이 함정에 빠트리는 게 공격자의 진짜 목적이다. 그건 바로 피해자가 암호화폐 앱을 열어 송금을 위해 로그인 하는 것이다. 이 때 로그인 비밀번호나 핀 코드를 공격자가 포착 및 캡처할 수 있게 된다. 그런 후 해당 정보를 가지고 사기 거래를 실시할 수 있다.
쓰레트패브릭은 “현재의 공격이 체코인들에게 국한돼 있지만, 곧 확장될 가능성이 높다”고 보고 있다. “부지런히 움직이는 공격자입니다. 이들은 도구 개발에만 부지런하지 않습니다. 공격 대상과 협력 세력을 넓히는 데에도 부지런합니다. 현재 한 가지 은행 애플리케이션만 노리고 있는데, 아마 그 이유는 현지 자금 세탁 조직들과 결탁해 있기 때문일 겁니다. 그런 협력 조직들이 늘어나면서 자연스럽게 활동 반경도 넓어질 것으로 예상합니다.”
Related Materials
- IT threat evolution in Q2 2024. Mobile statistics - Securelist (Kaspersky), 2024년
- Prediction of android ransomware with deep learning model and secret cloud key - Nature Scientific Reports, 2024년
- A Comprehensive Analysis of Android Evasive Malware - ACM Digital Library, 2024년
- Android malware detection and identification frameworks: A comprehensive review - ScienceDirect (Computer Science Review), 2024년
문가용 기자
문가용 기자
