상단여백
HOME 뉴스·정책
구글플레이 무료 게임에 봇넷 악성코드를…




보안 기업인 체크포인트가 안드로이드 기기에서 유행하는 거대한 봇넷을 구축하는 악성코드인 바이킹 호드(Viking Horde)의 존재를 밝혔다. 체크포인트에 따르면 바이킹 호드는 5만∼10만 대에 달하는 안드로이드 스마트폰에 영향을 미칠 가능성이 있다고 한다.

봇넷 악성코드에 감염된 단말끼리 구축된 네트워크에선 봇넷에 포함되는 걸 모른 채 사이버 범죄자에 의해 단말을 지배당해 사이버 공격에 가담할 수 있는 위험이 생긴다. 바이킹 호드 봇넷은 주로 광고 클릭으로 위장해 부당한 수익을 올리기 위해 이용된다. 바이킹 호드의 감염 경로는 이미 특정되어 있다. 최대 감염원은 지난 4월 15일 구글플레이 스토어에 올라온 게임 애플리케이션인 바이킹 점프(Viking Jump)다. 이 앱은 무료 앱으로 인기를 끌어 이미 5만∼10만 회에 달하는 다운로드 횟수를 기록했다.

그 밖에 바이킹 호드를 매개로 한 앱이 발견된 가장 오래된 앱인 와이파이 플러스(WiFi Plus)는 지난 3월 29일 공개된 바 있다. 와이파이 플러스는 처음 나올 때부터 루트 관리자 권한을 요구하기 때문에 의심스럽게 생각한 이용자도 있었다고 한다.





바이킹 호드의 감염원 역할을 하는 앱을 실행하면 앱 폴더 외부에 악성 프로그램간 데이터를 교환하는 데 필요한 구성 요소(core.bin, android.bin 등)를 설치해버린다. 이런 바이킹 호드는 단말이 루팅되어 있는지 여부를 확인한 다음 루팅되어 있다면 서버와의 통신 프로토콜을 제어하고 프로세스를 모니터링할 수 있는 구성 요소를 추가한다. 이런 다음 C&C(Command & Control) 서버와 TCP 연결을 설정, 통신을 시작한다. 또 익명성을 유지하기 위해 프록시 연결을 설정한다.

체크포인트는 봇넷을 조종하는 공격자가 관리하는 C&C서버로부터 얻은 데이터를 바탕으로 바이킹 호드에 의한 피해자 분포를 조사했다고 한다. 이에 따르면 가장 많은 피해자가 발생한 곳은 러시아로 44%이며 다음으로 스페인 12%, 레바논 10%, 미국 8% 순이다.





또 바이킹 호드가 악성코드를 삭제하려면 4.5파운드를 보내라는 SMS를 보내왔다는 보고도 있다고 한다. 이런 점에서 바이킹 호드가 디도스 공격이나 스팸 전송 등 다양한 공격에 이용될 가능성이 지적되고 있다.

바이킹 호드는 제거를 해도 사용자 몰래 다시 설치하는 방법이나 업데이트를 내려 받아 원하는 프로그램을 설치할 가능성도 있다. 체크포인트 측은 공격자가 바이킹 호드에 감염된 단말 카메라와 마이크를 켜거나 단말에서 정보를 빼낼 수 있다면서 바이킹 호드에 감염되면 하드웨어를 재설정하거나 새로운 스마트폰으로 교체하는 게 방법이라고 설명하고 있다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자  lswcap@techholic.co.kr

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>

이석원 기자의 다른기사 보기
인기기사
추천기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
재미있는 테크월드 세상
여백
여백
여백
여백
여백
여백
여백
Back to Top