한국을 주요 타깃으로, 한국어 혹은 중국어를 기반으로 활동하는 사이버 범죄집단이 유럽, 러시아 등 전 세계로 빠르게 퍼져나가고 있는 정황이 발견됐다.
카스퍼스키랩이 발표한 ‘로밍 맨티스(Roaming Mantis)’ 분석 보고서에 따르면 이들은 아시아 지역의 스마트폰 사용자를 노리며, DNS 하이재킹 기법을 이용해 악성코드를 유포하고 있다. 이 악성코드는 4주 동안 빠르게 진화해 아시아에서 유럽, 중동으로 확대됐으며, iOS 기기에 대한 피싱 옵션와 PC 암호화 화폐 채굴 기능도 추가하고 있다.
로밍 맨티스는 자격 증명 정보 등 사용자 정보를 탈취하고 해커가 감염된 기기를 장악할 수 있도록 설계돼 있다. 카스퍼스키랩 연구진은 이러한 공격 활동의 배후에 금전적 이득을 목적으로 하는 한국어 또는 중국어 기반의 사이버 범죄집단이 있는 것으로 보고 있다.
‘크롬 업데이트’ 위장 메시지 이용해 사용자 유도
로밍 맨티스가 이용하는 DNS 하이재킹은 취약한 라우터를 감염시켜 DNS 설정을 바꾸는 간단하고 효과적인 공격방법이다. 그러나 로밍 맨티스가 어떻게 라우터를 감염시키는지는 아직 알려지지 않았다.
DNS 하이재킹에 성공하면 사용자가 웹사이트에 접근하려고 시도할 때마다 정상적인 것으로 보이는 가짜 웹사이트 URL로 연결된다. ‘검색 기능 개선을 위해 크롬을 최신 버전으로 업데이트하세요’와 같은 위조 요청 메시지를 받은 사용자가 링크를 클릭하면 트로이목마를 포함한 애플리케이션의 설치가 시작된다. ‘facebook.apk’ 또는 ‘chrome.apk’라는 이름의 이들 애플리케이션에는 안드로이드 백도어 프로그램이 포함돼 있다.
로밍 맨티스 악성 코드는 해당 기기가 루팅돼 있는지 확인한 다음 사용자의 모든 커뮤니케이션 또는 검색 활동에 대해 알림을 받을 권한을 요청한다. 또한 2단계 인증에 필요한 자격 증명 정보 등의 광범위한 데이터도 수집할 수 있다. 이러한 기능 외에도 대한민국에서 널리 사용되는 모바일 뱅킹과 게임 애플리케이션 ID에 대한 검색이 소스 코드에 포함돼 있어 금전적 동기를 의심할 수 있다.
“라우터 DNS 설정 점검해야”
초기에 이 공격의 피해자는 주로 대한민국, 방글라데시, 일본에 분포돼 있었으며, 한국어, 중국어 간체, 일본어, 영어를 지원했다. 그러나 해커의 C&C 서버에서 매일 수천 건의 연결이 이뤄지고 있어 광범위한 공격이 실행되고 있을 가능성이 있다.
현재 공격 범위는 폴란드어, 독일어, 아랍어, 불가리아어, 러시아어 등 27개 언어가 지원된다. 또한 악성코드가 iOS 기기의 존재를 인식할 경우 애플 테마의 피싱 페이지로 이동하는 기능이 추가됐다. 가장 최근 추가된 기능은 PC 암호화 화폐 채굴 기능을 갖춘 악성 웹사이트로, 단 며칠만에 카스퍼스키랩 고객 100명 이상 공격을 받은 것으로 알려졌다.
카스퍼스키랩은 이 공격 피해를 막기 위해 라우터 DNS 설정이 무단으로 변경되지 않았는지 살펴보고, 로그인 정보와 암호 설정을 변경하며, 라우터 펌웨어를 업데이트 할 것을 권고했다.
