안드로이드 기반 악성파일이 극성을 부리고 있는 가운데 이번에는 카카오톡 업데이트를 사칭한 악성파일이 발견됐다. 이번에 발견된 악성파일은 스마트폰을 좀비로 만들어 DDoS 공격에 이용하려 한 것으로, 우리나라에서만 사용하는 모바일 메신저를 기반으로 한 타깃공격이라는 점에서 주의가 요구된다.
잉카인터넷(대표 주영흠 www.nprotect.com) ISARC 대응팀이 29일 발표한 카카오 업데이트 사칭 안드로이드 악성파일은 지난해 11월부터 구글코리아, 폰키퍼, V3 모바일 보안제품 등으로 위장해 국내에 집중적으로 유포되고 있는 DDoS 기능을 가진 안드로이드 악성파일이다.
이번에 발견된 악성파일은 기존의 변종으로 불특정 다수의 국내 스마트폰 이용자들에게 카카오(kakao) 업데이트와 관련된 내용을 사칭해 문자메시지(SMS)로 전파되고 있다. 문자에 포함된 구글 단축 URL 서비스를 이용해 악성파일을 설치하면 구글 앱스토어로 위장돼 작동되며, 실제 구글 플레이 마켓으로 연결해 정상적인 앱처럼 보이도록 조작한다.
해당 악성 앱은 한국 내 이용자들을 주요 표적으로 공격이 감행되고 있으며, 좀비 스마트폰을 이용할 경우 GPS 기반의 이동형 위치 DDoS 공격이 가능하기 때문에 탐지 및 방어에 어려운 문제가 발생할 수 있다.
문종현 ISARC 대응팀장은 “해당 악성파일에 감염돼 공격자가 좀비 스마트폰을 이용할 경우 특정 웹 서버가 운영중인 인터넷 데이터 센터(IDC) 주변의 좀비폰만 이용해서 위치기반 공격을 하거나, 위치 별 좀비폰 그룹화를 통해서 동시다발적인 이동통신 네트워크 망 서비스 거부공격을 하는 등 다양한 공격 시나리오를 예상해 볼 수 있다”며 “모바일 기반의 DDoS 공격은 기존의 PC기반 DDoS 공격과 다소 차별화된 특성을 이용한 특수공격을 수행할 수 있는 만큼 각별한 주의가 요구된다”고 말했다.
