2019.02.18

"믿을 수 있는 앱스토어가 없다"··· MS에서도 '크립토재킹' 앱 발견

Lucian Constantin | CSO
시만텍의 보안 연구자들이 지난 1월 마이크로소프트 앱 스토어에서 크립토마이닝 앱을 찾아내 신고한 것으로 밝혀졌다. 2018년 4월과 12월 사이에 스토어에 등록된 앱이었다. 이 앱을 얼마나 많은 사용자가 다운로드해 설치했는지는 확인되지 않았다. 그러나 이 앱을 평가한 사용자가 1900명 가까이 된다.



이 악성 앱은 브라우저나 검색엔진, 유튜브 비디오 다운로더, VPN, 혹은 컴퓨터 최적화 튜토리얼처럼 위장했다. 'DigiDream'과 '1clean', 'Findoo'라는 이름의 개발자 계정으로 업로드됐다. 그러나 시만텍 연구자들은 이 앱을 한 사람 혹은 같은 해커 그룹에서 만들었을 것으로 보고 있다. 이들 앱이 백엔드에서 같은 고유 도메인을 사용하기 때문이다.

연구팀에 따르면, 이 앱을 다운로드해 설치하면 곧바로 자신들의 도메인 서버에서 GTM(Google Tag Manager)을 통해 코인 마이닝 자바스크립트 라이브러리를 호출한다. 그러면 이 마이닝 스크립트가 활성화돼 컴퓨터의 CPU 대부분을 모네로(Monero) 채굴에 할당한다. 이들 앱은 프라이버시 정책을 제공하는 것으로 보이지만, 개발자가 올려 놓은 앱 스토어의 설명에는 코인 마이닝 관련된 언급이 전혀 없었다.

이 앱은 PWA(Progressive Web Applications)로 배포됐다. 웹 페이지로 실행되지만 API를 통해 컴퓨터 하드웨어에 접근하는 방식의 앱이다. 푸시 알림을 전송할 수 있고 오프라인 스토리지를 사용하며 네이티브 프로그램과 매우 비슷하게 작동한다. 윈도우 10에서는 이러한 애플리케이션이 WWAHost.exe라 불리는 단독 프로세서로, 브라우저와 별도로 독립적으로 실행된다. 

이 앱을 실행하면 GTM을 호출한다. GTM은 개발자가 동적으로 자바스크립트를 애플리케이션에 삽입할 수 있는 합법적인 서비스다. 같은 GTM 키를 사용하는 모든 애플리케이션은 같은 개발자일 가능성이 크다. 이 앱에 의해 호출된 스크립트는 웹 기반 암호통화 채굴기 코인하이브(Coinhive)의 변종이다. 과거에 해커에 의해 웹사이트를 해킹한 후 이 웹사이트 방문자의 CPU 자원을 가로채는 데 사용됐던 것이기도 하다. 

시만텍 연구자들은 "우리는 마이크로소프트와 구글에 이러한 앱의 존재를 알렸다. 마이크로소프트는 이 앱을 자사의 스토어에서 삭제했고, 채굴용 자바스크립트도 GTM에서 삭제됐다"라고 밝혔다.

이번 사건은 암호통화 채굴이 여전히 사이버 범죄자의 주요 목표라는 것을 보여준다. 사용자의 개인 컴퓨터 리소스를 가로채는 것이든, 데이터센터내 서버 자원을 탈취하는 것이든 상관없이 해커는 채굴기를 배포하는 새로운 방법을 끊임없이 찾고 있는 것이다.

지난 3년간 많은 해커가 구글 크롬과 모질라 파이어폭스용 브라우저 확장기능, 구글 플레이에서 서비스하는 안드로이드 앱을 통해 코인마이너 공격을 실행했다. 일반적인 데스크톱 애플리케이션이나 해킹한 웹사이트, 그리고 현재는 윈도우 10 PWA도 코인마이너 공격의 경로가 되고 있다. 이밖에 리눅스와 윈도우 서버를 해킹해 암호통화 마이닝 프로그램을 심는 다양한 봇넷도 있다. 유명 웹 애플리케이션과 플랫폼의 보안 취약점을 악용하는 방식이다.

따라서 사용자는 모바일 기기든 컴퓨터든 상관없이 믿을 수 있는 소스에서만 애플리케이션을 다운로드하는 것이 좋다. 특히 이번 사례처럼 공식 앱 스토어에 등록되는 악성 앱도 종종 발견되므로, 다운로드시 더 주의하는 것은 더는 선택이 아니다. ciokr@idg.co.kr



2019.02.18

"믿을 수 있는 앱스토어가 없다"··· MS에서도 '크립토재킹' 앱 발견

Lucian Constantin | CSO
시만텍의 보안 연구자들이 지난 1월 마이크로소프트 앱 스토어에서 크립토마이닝 앱을 찾아내 신고한 것으로 밝혀졌다. 2018년 4월과 12월 사이에 스토어에 등록된 앱이었다. 이 앱을 얼마나 많은 사용자가 다운로드해 설치했는지는 확인되지 않았다. 그러나 이 앱을 평가한 사용자가 1900명 가까이 된다.



이 악성 앱은 브라우저나 검색엔진, 유튜브 비디오 다운로더, VPN, 혹은 컴퓨터 최적화 튜토리얼처럼 위장했다. 'DigiDream'과 '1clean', 'Findoo'라는 이름의 개발자 계정으로 업로드됐다. 그러나 시만텍 연구자들은 이 앱을 한 사람 혹은 같은 해커 그룹에서 만들었을 것으로 보고 있다. 이들 앱이 백엔드에서 같은 고유 도메인을 사용하기 때문이다.

연구팀에 따르면, 이 앱을 다운로드해 설치하면 곧바로 자신들의 도메인 서버에서 GTM(Google Tag Manager)을 통해 코인 마이닝 자바스크립트 라이브러리를 호출한다. 그러면 이 마이닝 스크립트가 활성화돼 컴퓨터의 CPU 대부분을 모네로(Monero) 채굴에 할당한다. 이들 앱은 프라이버시 정책을 제공하는 것으로 보이지만, 개발자가 올려 놓은 앱 스토어의 설명에는 코인 마이닝 관련된 언급이 전혀 없었다.

이 앱은 PWA(Progressive Web Applications)로 배포됐다. 웹 페이지로 실행되지만 API를 통해 컴퓨터 하드웨어에 접근하는 방식의 앱이다. 푸시 알림을 전송할 수 있고 오프라인 스토리지를 사용하며 네이티브 프로그램과 매우 비슷하게 작동한다. 윈도우 10에서는 이러한 애플리케이션이 WWAHost.exe라 불리는 단독 프로세서로, 브라우저와 별도로 독립적으로 실행된다. 

이 앱을 실행하면 GTM을 호출한다. GTM은 개발자가 동적으로 자바스크립트를 애플리케이션에 삽입할 수 있는 합법적인 서비스다. 같은 GTM 키를 사용하는 모든 애플리케이션은 같은 개발자일 가능성이 크다. 이 앱에 의해 호출된 스크립트는 웹 기반 암호통화 채굴기 코인하이브(Coinhive)의 변종이다. 과거에 해커에 의해 웹사이트를 해킹한 후 이 웹사이트 방문자의 CPU 자원을 가로채는 데 사용됐던 것이기도 하다. 

시만텍 연구자들은 "우리는 마이크로소프트와 구글에 이러한 앱의 존재를 알렸다. 마이크로소프트는 이 앱을 자사의 스토어에서 삭제했고, 채굴용 자바스크립트도 GTM에서 삭제됐다"라고 밝혔다.

이번 사건은 암호통화 채굴이 여전히 사이버 범죄자의 주요 목표라는 것을 보여준다. 사용자의 개인 컴퓨터 리소스를 가로채는 것이든, 데이터센터내 서버 자원을 탈취하는 것이든 상관없이 해커는 채굴기를 배포하는 새로운 방법을 끊임없이 찾고 있는 것이다.

지난 3년간 많은 해커가 구글 크롬과 모질라 파이어폭스용 브라우저 확장기능, 구글 플레이에서 서비스하는 안드로이드 앱을 통해 코인마이너 공격을 실행했다. 일반적인 데스크톱 애플리케이션이나 해킹한 웹사이트, 그리고 현재는 윈도우 10 PWA도 코인마이너 공격의 경로가 되고 있다. 이밖에 리눅스와 윈도우 서버를 해킹해 암호통화 마이닝 프로그램을 심는 다양한 봇넷도 있다. 유명 웹 애플리케이션과 플랫폼의 보안 취약점을 악용하는 방식이다.

따라서 사용자는 모바일 기기든 컴퓨터든 상관없이 믿을 수 있는 소스에서만 애플리케이션을 다운로드하는 것이 좋다. 특히 이번 사례처럼 공식 앱 스토어에 등록되는 악성 앱도 종종 발견되므로, 다운로드시 더 주의하는 것은 더는 선택이 아니다. ciokr@idg.co.kr

X