이셋코리아가 트위터에 의해 제어되는 안드로이드 백도어 트로이 목마를 발견해 주의를 요한다고 밝혔다.
이번에 발견된 악성코드는 이셋에 의해 안드로이드(Android)/트위투어(Twitoor)로 탐지되며, 기존의 악성코드가 C&C 서버와의 통신에 의해 제어되는 것과는 달리 트위터를 사용해 제어되는 첫 번째 안드로이드 악성 앱이다.
일단 악성코드가 실행되면 시스템에서 자신의 존재를 숨기고, 공격자의 명령을 받기 위해 미리 지정된 트위터 계정을 주기적으로 확인하며 이후 수신된 명령을 기반으로 추가 악성 앱을 다운로드하거나 기존의 C&C 트위터 계정을 다른 계정으로 변경해 의심을 회피한다.
이 악성코드는 안드로이드 기기에서 봇넷을 제어하기 위해 트위터를 사용하는 매우 혁신적인 기법이 적용됐는데, 이처럼 소셜 네트워크를 기반으로 하는 C&C 통신 채널을 사용할 경우 이를 발견하고 차단하기가 매우 어려우며 아울러 C&C 계정을 변경함으로써 C&C 통신 채널의 이동이 용이하다는 것이 회사 측 설명이다.
트위터는 2009년에 윈도우 봇넷을 제어하기 위해 처음 사용했으며 블로그나 구글 등 다양한 클라우드 메시징 서비스를 이용해 제어되는 안드로이드 봇을 발견한 바 있다. 그러나 이번에 발견된 악성코드는 안드로이드에서 트위터 등 소셜 네트워트 서비스를 사용한 첫 번째 사례로 기록될 것으로 보인다.
이셋 측은 트위터 뿐만 아니라 페이스북, 링크드인 등 다른 소셜 네트워크를 이용할 수 있을 것이라고 예측했다. 안드로이드/트위투어는 올해 7월부터 활동했는데, 공식적인 안드로이드 앱 스토어에서는 발견되지 않았으며 아마도 SMS 또는 악성 URL 을 통해 확산되는 것으로 추정했다.
현재 트위투어 트로이 목마는 모바일 뱅킹을 대상으로 한 악성코드의 다양한 버전을 다운로드하고 있지만, 공격자의 의도에 따라 언제든지 랜섬웨어를 포함한 다른 악성코드를 유포할 수 있다.
김남욱 이셋코리아 대표는 “사이버 범죄자들이 그들의 목적을 달성하기 위해 혁신적인 공격 방법을 끊임없이 찾고 있다는 것을 알려주는 좋은 예”라며 “PC 뿐만 아니라 모바일 기기에서도 성능이 검증된 보안 솔루션을 사용하는 것이 필요하며 보안 수준을 높이기 위한 활동을 계속해야 한다”고 주의를 전했다.
