​

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, 이하 ASEC)는 최근 발표한 ASEC Report에서 모바일용 채굴 악성코드에 대해 상세히 설명했다. ASEC에 따르면, 최근 유포되고 있는 모바일용 채굴 악성코드는 주로 안드로이드 스마트폰을 공격 대상으로 삼고 있으며, 크게 ▲크립토재킹 ▲페이크월렛 ▲클리퍼 등 3가지 유형으로 구분할 수 있다.

모바일용 채굴 악성코드의 유형별 특징을 간략히 살펴보면 다음과 같다.


1. 크립토재킹(Cryptojacking)

크립토재킹(Cryptojacking)은 ‘암호화폐(cryptocurrency)’와 ‘납치(hijacking)’의 합성어로, 스마트폰에 침투한 악성코드가 사용자 몰래 가상화폐(암호화폐)를 채굴하여 가로채는 방식을 뜻한다. 크립토재킹 악성코드는 주로 모바일 게임 앱 등으로 위장해 유포되고 있다.

​
[그림 1] 게임 앱으로 위장한 악성 앱

사용자가 [그림 1]과 같이 게임 앱으로 위장한 악성 앱을 설치하면 크립토재킹 악성코드에 감염된다. 크립토재킹 악성코드가 가상화폐를 채굴하면 스마트폰의 CPU 사용량이 급증하기 때문에 성능이 저하된다. 그러나 사용자는 악성코드의 채굴 사실을 알지 못한 채 게임 애플리케이션이 실행되기 때문이라고 생각하기 쉽다.


2. 페이크월렛(FakeWallet)

페이크월렛 유형은 가상화폐 지갑(Wallet) 앱으로 위장한 채굴 악성코드 유형이다. 가짜 지갑 앱은 사용자 고유의 지갑 주소를 생성해주는 것처럼 보이지만 실제로는 해당 앱을 설치한 모든 사용자에게 동일한 지갑 주소를 생성한다. 해당 주소는 공격자의 지갑 주소이다.

​[그림 2] 유명 가상화폐 지갑 앱으로 위장한 악성 앱
　

[그림 2]는 페이크월렛 악성 앱 중 하나로, 최근 인기 있는 가상화폐인 이더리움과 관련된 마이이더월렛(MyEtherWallet) 앱으로 위장했다. 마이이더월렛의 로고까지 악용한 이 악성 앱은 [그림 2]와 같이 사용자의 프라이빗 키(Private Key) 입력을 유도한다. 사용자가 주소와 프라이빗 키 값을 입력하고 로그인 버튼을 누르면, ‘유효하지 않은 주소(invalid Address)’라는 메시지 창이 나타난다. 동시에 사용자 몰래 입력된 주소와 키 값을 공격자에게 전송한다.


3. 클리퍼(Clipper)

클리퍼 유형은 스마트폰의 클립보드에 지갑 주소가 감지되면 해당 정보를 공격자에게 전송하는 방식이다. 많은 사용자들이 복잡한 가상화폐 주소를 직접 입력하는 대신 클립보드를 이용해 그대로 전송하는 것을 노린 것이다.

클리퍼 방식의 악성 앱은 스마트폰에 설치되면 아이콘을 숨긴다. 사용자가 해당 앱을 실행하면 ‘지원하지 않는 기기이므로 앱을 삭제했습니다(Not supported on your device and deleted)’라는 메시지를 보여준다. 그러나 실제로는 사용자 몰래 실행되면서 클립보드를 모니터링하면서 지갑 관련 정보로 보이는 것이 감지되면 이를 공격자의 서버로 전송한다.


PC, 스마트폰 가리지 않는 채굴 악성코드

올해 가상화폐 가격이 다시 상승함에 따라 사용자 시스템의 자원을 이용해 가상화폐를 채굴하는 악성코드가 다시 기승을 부리고 있다. PC뿐만 아니라 스마트폰을 노리는 채굴 악성코드도 증가함에 따라 스마트폰 이용 시에도 각별한 주의가 필요하다.

기본적으로 공식 마켓을 통해 앱을 다운로드하는 것이 바람직하지만, 최근 안드로이드 공식 마켓을 통한 악성 앱 유포가 종종 발생하고 있다. 따라서 공식 마켓에서 앱을 다운로드할 때도 평판(리뷰) 정보를 확인하고, 특히 갑작스런 순위 변동이 있는 앱이라면 그 이유를 꼼꼼히 살펴보는 등의 노력이 필요하다. 안랩은 안드로이드 스마트폰 이용자를 보호하기 위한 모바일 전용 백신 제품인 ‘V3 모바일 시큐리티(V3 Mobile Security)’를 제공하고 있다.

　

[출처 : 안랩(((www.ahnlab.com)]