안드로이드 사용자를 노리는 크립토재킹 공격

수백만명의 안드로이드 사용자 휴대폰이 가상화폐 채굴 공격에 노출되었습니다. 이번 공격은 모바일 사용자들을 노린 대규모의 채굴공격입니다. 

이 공격방식은 멀버타이징 방식을 이용하여 수백만명의 사용자를 악성 사이트로 리다이렉션 시키며, 작년 11월부터 약 80만명의 사용자가 방문한 것으로 확인되었습니다. 

공격자들은 대다수의 모바일 사용자가 웹필터링 혹은 보안앱을 사용하지 않아 보안 경고를 받지 않는 점을 노렸습니다. 

보안업체는  ’대부분의 플랫폼이 채굴 공격에 취약하다. 모바일 기기가 데스크탑에 비해 보안에 취약하다는 것 외에도, 모바일 공격이 더욱 용이한 여러가지 이유가 있다’고 밝혔습니다.

일부 리다이렉션 공격은 일반적인 검색 과정에서 발생하지만, 감염된 앱도 리디렉션 공격을 수행할 수 있습니다.  즉 앱에 포함된 광고 모듈이 사용자를 코인하이브 사이트 키가 있는 악성 채굴 사이트로 리다이렉션시킵니다. 이런 앱들은 써드파티 스토어를 통해 무료로 다운로드할 수 있습니다. 

악성 채굴 공격의 특징은 사용자 모르게 공격을 수행하는 점입니다. 공격이 수행될 때 사용자는 자신들의 컴퓨터가 채굴에 이용되고 있는지 모릅니다. 다만 시스템 속도 저하와 비정상적인 팬 회전 현상을 겪게 됩니다.

그러나 해커들은 채굴 공격에 대해 매우 다른 입장을 취하고 있습니다. 

이들은 경고 문구를 통해 사용자에게 기기가 암호화폐 채굴에 이용되고 있다고 안내합니다. 또한 암호화폐 채굴은 서버 트래픽을 해결하기 위한 비용을 지불하기 위함이라고 덧붙이고 있습니다.

경고 문구는 다음과 같습니다.

“당신의 휴대 전화에서 의심스러운 검색 작업이 발견되었습니다. 캡차 프로그램을 통해 로봇이 아님을 증명하십시오. 로봇이 아님이 증명될 때까지 봇 트래픽에 의해 발생한 서버 비용을 지불하기 위해 당신의 브라우저는 모네로 채굴 작업을 진행할 예정입니다.”

모든 사용자의 캡차 코드(w3FaSO5R)는 동일합니다. 사용자가 해당 코드를 입력하고 “계속” 버튼을 입력할 때까지 휴대 전화 또는 태블릿 기기는 전속력으로 모네로를 채굴합니다. 프로세스를 최대 속도로 가동시키는 이 과정에서 사용자의 기기를 손상시킵니다.

 

<이미지 출처 : https://www.scmagazine.com/necurs-powered-trickbot-trojan-begins-targeting-us-banks-with-webinject-capabilities/article/677070/>

트래픽을 분석해보니, 사용자가 모네로 채굴 페이지에 머무는 시간은 평균 4분입니다. 악성 사이트는 팝-언더 광고(pop-under: 사이트가 뜰 때 브라우저 뒤에 뜨는 광고 창)로 로딩되어 사용자 모르게 작업을 시작할 수 있습니다.

작년 11월부터 올 해 1월까지 5개의 사이트 중 2개의 사이트에 32백만 명 이상의 사용자가 방문했습니다.

프로세스 성능과, 채굴 소모 시간이 적다는 점을 고려했을 때, 전체 공격 작업을 통해 한 달에 1-2천 달러 정도의 수익만 발생하는 것으로 추정됩니다.

그러나 비트코인의 가격 상승으로 암호화폐의 가치가 대폭 상승할 가능성도 있습니다.

사용자를 채굴 사이트로 리디렉션시키는 사이트가 꼭 악성 사이트가 아닐 수도 있습니다. 

데스크탑과 유사한 방식으로 모바일 기기도 채굴 공격에 이용될 수 있는 점을 대다수의 사용자들이 아직 잘 모르기 때문에, 해커들은 수백만 대의 안드로이드 기기를 대상으로 성공적으로 공격을 수행해왔습니다.

이 공격은 컴퓨터 보안 방법과 동일하게 보안 소프트웨어를 설치함으로써 예방할 수 있으니, 사용자 여러분들께서는 반드시 모바일 백신을 설치하시기를 권고드립니다. 

출처 :

http://www.zdnet.com/article/android-malware-millions-fall-victim-to-drive-by-cryptocurrency-miner/