포스팅 내용

국내외 보안동향

뱅킹 악성코드 엑소봇 제작자, 판매 중단 발표

유명 해킹 커뮤니티에서 고도로 진화된 안드로이드 뱅킹 트로이목마의 소스코드가 판매되고 있습니다.


엑소봇(Exobot)이라 불리는 이 악성코드는 2016년 6월 처음 등장한 안드로이드 악성코드 입니다. 이 악성코드 역시 최신 뱅킹 악성코드처럼 달 단위로 임대가 가능합니다. 


구매자들은 이 악성코드 소스코드에 대한 접근권한을 갖고있지는 않지만, 엑소봇의 구성 패널을 이용하여 커스터마이징이 가능합니다. 그 후 각자의 공격방법을 이용하여 악성앱을 유포합니다. 


엑소봇은 지난 2년간 뱅크봇, GM봇, 마자르(Mazar), 레드얼럿(Red Alert) 등과 더불어 공격을 가장 활발히 수행한 안드로이드 악성코드입니다.


처음에는 일부 보안 기업에서 해당 악성코드를 마처(Marcher)라고 불렀으나, 결국에는 많은 사람이 엑소봇이라 부르게 되면서 결국 엑소봇으로 명명되게 되었습니다. 제작자는 초기에 엑소봇을 이용하여 괜찮은 수익을 내면서 2016년 말에는 엑소봇 v2를 제작하게 되었습니다.


다크웹, 해킹 포럼, XMPP 스팸, 인터넷 등을 통해 광고하면서 엑소봇 v2의 판매가 증가했으며, 이로 인해 전 세계 많은 국가에서 해당 멀웨어를 이용한 공격 피해가 발생했습니다.


그런데, 엑소봇 제작자가 최근 엑소봇 렌탈을 종료하고 소수의 구매자에게만 소스코드를 판매하겠다고 하여 구매자들이 난항을 겪게 될 것으로 보입니다.


아래 이미지는 엑소봇 제작자의 판매 광고 이미지입니다.



<이미지 출처 : https://www.bleepingcomputer.com/news/security/exobot-author-calls-it-quits-and-sells-off-banking-trojan-source-code/>

 

보안 연구원 젠기즈 한 사힌(Cengiz Han Sahin)은 ‘엑소봇 제작자가 이미 부자가 되었다. 악성코드 판매시장에서 그러한 발표를 한다는 것은 다음의 두 가지를 의미한다. 악성코드 판매로 인한 법적 소송이 급증한 이유 때문이거나, 악성코드 판매 실적이 너무 좋아서 더 이상의 수익에 관심 없는 상황일 것’이라고 밝혔습니다.


그러나 이 같은 상황에도 불구하고, 엑소봇 판매로 인해 안드로이드 악성코드 시장에 큰 파장이 일어날 것으로 보입니다.


사힌은 ‘엑소봇 소스코드가 온라인을 통해 널리 퍼지게 되는 건 시간문제일 것’이라고 블로그를 통해 밝혔습니다.


이미 유명세를 탄 소스코드 판매가 비밀로 남는 경우는 매우 드뭅니다. 엑소봇 제작자가 만약 구매자들의 수요를 충족시키지 못하면 비밀리에 소스코드가 유통될 것으로 추측되며, 과거에도 이런 식으로 다수의 뱅킹 악성코드가 유출되었습니다.


만약 일단 소스코드가 유출된다면 엑소봇 코드는 슬램포(Slempo), 뱅크봇, GM봇 등과 같은 운명을 맞이하게 될 것입니다. 즉 악성코드 가격은 저렴해지고 기술은 더욱 정교하게 진화되어 비공식적인 악성코드 시장에서 계속 유통될 것입니다.


하지만 엑소봇의 소스코드가 유출 되기 전에, 이미 새로운 구매자들은 이 엑소봇을 이용하여 매우 효과적으로 공격을 진행중에 있습니다. 


엑소봇 판매가 시작된 지 한 달도 되지 않았지만, 오스트리아, 영국, 네덜란드, 터키에서 새로운 공격이 발생하였습니다. 그 중, 터키에서 가장 많은 공격이 발견되었는데 총 4,400대의 기기가 감염되었습니다.


악성 엑소봇 앱이 증가한 이유는 엑소봇 소스코드가 개인끼리 유통되고 있기 때문입니다. 만약 엑소봇 소스코드가 유출되면, 뱅크봇의 경우처럼 사태가 심각해질 것이라는 우려의 목소리가 높습니다. 





출처 :

https://www.bleepingcomputer.com/news/security/exobot-author-calls-it-quits-and-sells-off-banking-trojan-source-code/

티스토리 방명록 작성
name password homepage