연변 모바일 갱 - 한국트렌드마이크로 · 2014년, 트렌드마이크로는 중국의 모바일 갱 시장에 대한 면밀한 조사를 실시했고 이들이 여전히

Simon Huang 모바일 위협 연구팀

연변 모바일 갱한국 사용자를 타깃으로 한 모바일 위협

목차

......................................................................................................... 1

....................................................................................... 2

................................................................................... 2

................................................................................... 2

........................................................................................... 2

........................................................................................... 2

........................................................................................ 3

............................................................................. 3

......................................................................... 3

.................................... 4

................................................................................... 5

.......................................................... 7

.................................................................. 8

............................................................................... 9

........................................................................... 9

............................................................................... 9

.........................................................10

.........................................................................................10

..............................................................................10

.........................................................................10

.......................................................................11

.........................................................11

.......................................................................12

..........................................................................................................14

..........................................................................................................15

트렌드마이크로 법적 고지

본 문서에 포함된 정보는 교육을 목적으로 제공되는 일반적인

정보이며 법률적 조언으로서의 효력이 있는 것으로

해석되어서는 안됩니다. 본 문서의 정보는 모든 상황에

적용되지 않을 수 있으며 최신 상황을 반영하지 못할 수도

있습니다. 본 정보는 특정 사실이나 상황에 따른 법률적 조언

없이 활용하거나 실행에 옮겨서는 안되며 그 어떤 내용도

다르게 해석되어서는 안됩니다. 트렌드마이크로는 사전 고지

없이 언제라도 본 문서의 내용을 변경할 권한이 있습니다.

다른 언어로의 번역은 오로지 사용자의 편의를 위한 것이며

번역의 정확성은 보장하지 않습니다. 번역 정확성과 관련하여

궁금한 점이 있으시면 문서의 원본을 참조하십시오.

번역본에서 발생된 잘못된 내용이나 다른 내용은 법적

구속력이 없으며 준수 또는 실행을 강제할 법적 효력을

가지지 않습니다.

트렌드마이크로는 문서에 정확하고 최신 정보를 제공하기

위한 최선의 노력을 기울이기는 하지만 정확성, 현재성 또는

완전성과 관련하여 어떠한 보증도 하지 않습니다. 여러분은

이 문서의 사용에 대해 동의한 것이며 따라서 내용에 대한

위험도 여러분이 감수해야 하며 트렌드마이크로는 어떠한

암시적, 묵시적 보증도 제공하지 않습니다.

트렌드마이크로와 이 문서의 생성, 제작 또는 공급에 관여한

당사자는 이 문서의 사용 혹은 사용 불능, 내용의 오류나 누락

또는 이 문서로 인해 발생되는 모든 직접적, 간접적, 특수적,

결과적, 비즈니스 손실 또는 특별한 손해를 포함한 모든 결과,

손실 또는 손해에 대해 책임을 지지 않습니다. 이 정보를

사용하는 사람은 정보를 “있는 그대로”의 상태로 사용하는

것에 대해 동의한 것으로 간주됩니다.

개요

연변 모바일 갱

모바일 갱 이름

모바일 갱 구성

조직책

통역사

카우보이

악성코드 제작자

모바일 갱의 운영 방법

모바일 갱이 사용한 안드로이드 악성코드의 유형

가짜 뱅킹 앱

모바일 뱅킹 세션 하이재킹 앱

인기있는 앱의 가짜 버전

가짜 구글 앱

가짜 음란물 앱

다른 가짜 앱

모바일 갱이 기기를 감염시키는 방법

SMS 피싱

다른 악성코드 이용

가짜 사이버 경찰청

가짜 '영화 인터뷰' 앱

모바일 갱의 C&C 서버 운영 방법

모바일 뱅킹 악성코드 동향

결론

참조

1 © 2015 Trend Micro Incorporated

개요

연변 모바일 갱은 2013년부터 피해자의 계좌에서 수백만 달러를 빼돌렸습니다.

연변 모바일 갱 Research Paper

2014년, 트렌드마이크로는 중국의 모바일 갱 시장에 대한 면밀한 조사를 실시했고 이들이 여전히 활동

중에 있다는 사실을 알게 되었습니다. 하지만 우리가 확인하지 못했던 사실은 한국에서 멀리 떨어진

연변의 사이버 범죄자들이 한국의 안드로이드 모바일 뱅킹 고객들을 악용하고 있었다는 점입니다.

우리가 ‘연변 모바일 갱’이라고 부르는 이들은 2013년부터 피해자들의 계좌에서 성공적으로 돈을

인출하고 있습니다. 해커들은 가짜 뱅킹 및 그 밖의 유명한 앱들을 이용하여 2013년부터 2014년까지

4,000명 이상의 한국 안드로이드 모바일 뱅킹 고객들에게 피해를 입혔습니다. 이 외에도 이들은 영화

“인터뷰(The Interview)”와 관련된 소셜 엔지니어링 낚시글을 이용하여 피해자들이 가짜 앱을

설치하도록 유도했습니다.

본 보고서는 연변 모바일 갱의 구성, 활동 및 역량에 대한 심층 정보를 제공합니다.

Research Paper



모바일 갱 구성

모바일 갱 이름

조직책(Organizer)

통역사(Translator)

중국 길림성 연변 위치

연변 모바일 갱은 조직책, 통역사, 카우보이, 악성코드 제작자로 구성됩니다.

조직책은 해커 조직의 핵심 인물입니다. 그는 조직원을

찾아서 팀을 구성하며, 고급 기술 수준을 갖추고 있을

필요가 없습니다. 하지만 해커 비즈니스의 흐름을 잘

알고 있으며 악성코드를 널리 전파시킬 수 있는

기기들을 갖추고 있습니다.[4]

활발히 활동중인 모바일 갱에는 표적과 안티바이러스

애플리케이션에 맞게 악성코드를 신속하게 적용시키기

위한 다양한 역할들이 있습니다. 모바일 갱은 조직책,

통역사, 카우보이, 악성코드 제작자로 구성됩니다.

본 문서에서 조사한 해커 조직들은 중국 길림성의

연변에 거주하고 있어 ‘연변 모바일 갱’이라고 불리며,

이곳은 중국과 북한의 경계에 위치한 도시입니다.[1]

학교를 중퇴하고 직업도 없는 많은 젊은이들이 해커

조직에 가담하고 있습니다.[2] 초보자들은 해킹(-

Blackhat) 기술을 배우기 위해 선생들에게 돈을

지불하고 무료로 일을 해 줍니다. 동시에 선생은

초보자들에게 시간 소모가 많은 일을 시키고

이들로부터 돈을 받습니다. 학생들이 해커 비즈니스

방법을 익히고 나면 그들과 헤어져 독자적인 해커

조직을 구성합니다.[3]

통역사는 가로챈 SMS 메시지나 악성코드 사용자 인터페이스의 단어들을 포함하여 현지 언어와

한국어(표적 국가의 언어)를 통역하는 업무를 담당합니다.

모바일 갱에서는 조직책을 제외하고 그 어떤 조직원들도 서로 접촉할 수 없습니다. 조직원들은

서로의 존재에 대해서만 알고 있을 뿐 그 외의 어떠한 정보도 알지 못합니다. 조직원간 모든

메시지는 조직책을 통해서만 교환됩니다. 따라서 조직책은 모바일 갱에서 없어선 안 되는

인물입니다.


Research Paper


모바일 갱의 운영 방법

범죄 시장에서 블랙 또는 프리즈 카드는 725달러(한화 800,000원)에 판매되고 있습니다.

*2015년 2월 2일 기준 환율: US 1달러=한화 1,103원


불법 은행 카드를 거래하는 QQ 채팅 그룹 샘플

악성코드 제작자(Malware Creators)

카우보이는 한국에 거주하면서 피해자의

돈을 은행에서 인출하여 조직책에게

송금하는 일을 담당합니다.

대개 이들은 자신의 지인들이 아닌

타인의 은행 카드를 뜻하는 블랙

카드(또는 프리즈 카드)라고 불리는 은행

카드를 발급받을 수 있는 방법을 알고

있습니다. 따라서 은행 카드가 경찰의

의심을 받게 되더라도 경찰은 카우보이가

누구인지 정확하게 파악할 수 없습니다.

해커들은 QQ 채팅 그룹에서 공개적으로 조직원을 모집합니다. 샘플을 보면 ‘모바일 안랩 안티바이러스

회피를 위한 기술 파트너 구함. 하루 1만 렌민비(RMB) 이상 지급’, ‘한국을 대상으로 SMS 메시지를

가로채는 모바일 악성코드를 개발할 수 있는 분은 연락주십시오.’라는 내용입니다.

악성코드 제작자는 새로운 악성코드를 개발하고 현재의 악성코드와 탐지 회피 기법 등을 재개발합니다.

신속한 개발을 위해 하나의 모바일 갱에서 대개 다수의 기술자들이 소속되어 있습니다.

악성코드 제작자는 모바일 갱에서 가장 중요한

조직원인데 해커 조직이 컴퓨터 기술에 전적으로

의존하기 때문입니다.

악성코드는 지속적으로 발전하고 있기 때문에 더 많은

사용자들을 감염시키고 안티바이러스의 탐지에서도

벗어날 것입니다.

중국에서는 해커들이 블랙 카드를 거래하는 QQ 채팅 그룹이 존재합니다. 아래의 그림에서 볼 수

있듯이 각 프리즈 카드는 725달러(한화 800,000원)*에 판매되고 있습니다.

카우보이(Cowboy)

Research Paper


* 2015년 2월 2일 기준 환율: US 1달러=RMB 6

왼쪽: 악성코드 제작자를 모집하는 해커의 QQ 채팅 메시지 샘플*

오른쪽: 수익 분배에 대한 카우보이와의 대화 샘플

모바일 갱이 사용한 안드로이드 악성코드의 유형

카우보이는 40-95%의 높은 수익 배당을 받습니다.

연변 모바일 갱은 한국에 거주하는 한 명의

카우보이와도 거래를 합니다. 통역사와 마찬가지로

이들도 QQ 채팅과 전화를 통해 조직책과 의사소통

합니다. 카우보이가 범죄를 통해 확보한 자금을 어떻게

조직책에게 전달하는 지는 정확하게 알 수 없지만 대부분 다른 해커들로부터 블랙 카드나 프리즈(-

fridge) 카드를 이용할 것입니다. 모바일 갱들의 활동에 따라 카우보이나 직접 현찰을 다루는

조직원들은 40-95%에 이르는 상당히 높은 수익 배당을 받습니다. 경찰이 자금 추적을 할 경우

신분이 노출될 위험이 가장 높기 때문입니다.

모바일 갱은 한 명의 악성코드 제작자와도 거래를 하며 이들 역시 QQ 채팅을 통해 조직책과

의사소통하고 자신의 제작물을 이들에게 전달합니다. 통역사와 마찬가지로 수익에 대한 배당 대신

계약 조건에 따라 월급을 받습니다.

카우보이는 블랙 카드나 프리즈 카드를 통해 피해자들의 돈을 인출하고, 이 돈을 조직책의 은행

계좌로 송금합니다. 조사 결과 카우보이는 매일 조직책의 계좌로 수만 차례 돈을 송금하는 것으로

나타났습니다.

연변 모바일 갱이 공격에서 사용한 안드로이드 악성코드는 구글 플레이 혹은 다른 서드파티 앱

사이트에서 다운로드 할 수는 없었습니다. 오직 악성 문자 메시지 또는 다른 악성코드에 의한

다운로드를 통해 유포되었습니다.

보고서 내용에 따르면 연변 모바일 갱은 한 명의 통역사와 거래를 하며 이 통역사는 동시에 여러

모바일 갱들과 거래를 합니다. 그 역시 조직책과의 모든 상호 작용을 QQ 채팅을 통해 진행했으며

이익 배당을 받는 모바일 갱의 다른 조직원들과는 달리 고정급을 받고 있습니다.


Research Paper



가짜 뱅킹 앱

이 악성코드는 은행의 공식 애플리케이션과 동일한

아이콘 및 사용자 인터페이스로 설계됩니다. 자신을

감추고 사용자를 속이기 위해 이들은 실제 은행

애플리케이션을 삭제할 수도 있습니다. 이들은 다양한

동작(부팅 완료, SMS 메시지 수신, 사용자 프레즌스,

네트워크 구성 변경 등)을 통해 악성코드가 실행되도록

등록합니다.

일단 실행이 되면 백그라운드 서비스가 시작되며

사용자의 개인정보를 수집하고 유출시킵니다. 사용자가

이 가짜 앱을 사용하여 은행 계정에 로그인하게 되면

은행 카드 번호, 비밀번호, 개인 ID 등을 포함한 정보가

해커의 서버로 전송됩니다.

다섯 곳의 한국 은행을 표적으로 한 악성코드들이

동일한 활동을 실행한 것으로 나타났습니다. 실제로

이들은 동일한 악성코드 소스 코드에서 개발되었고 각

은행 앱에 맞게 제작되었습니다.

위: 매일 수많은 돈을 훔치고 있는 모바일 갱

왼쪽: 가짜 뱅킹 앱이 사용한 아이콘과 UI

Research Paper


이 악성코드들의 활동은 다음과 같습니다:

•

•

•

•

•

‘AISTX’라는 새로운 소프트웨어 기반 AIS 트랜스미터를 설계하여 구현합니다.

휴대폰 번호, 계좌명과 번호, 로그인 정보와 같은 사용자 정보를 지정된 C&C

서버에 업로드합니다.

해커의 실행 명령이 포함되어 있는 문자 메시지를 기다립니다.

해커가 C&C 서버에 설정한 특정 규칙에 해당하는 내용이나 발신자 번호의 문자

메시지 또는 모바일 갱이 보낸 것이 아닌 문자 메시지들을 차단합니다.

발신자 번호 규칙은 은행이 전송하는 인증 코드와 같은 문자 메시지를 차단합니다.

이로써 해커들은 피해자의 돈을 인출하는 데 필요한 코드를 확보할 수 있고

피해자가 이를 눈치채지 못하게 감출 수 있습니다.

문자 메시지를 가로채고 이를 지정된 C&C 서버에 업로드합니다.

이 악성코드들이 사용한 C&C 서버에 대해 분석한 결과 이들 악성코드 간에는 긴밀한 관계가

있었습니다. 총 38개의 C&C 서버 위치를 확인했으며 두 가지 이상의 악성코드들이 26대의

서버를 공유하고 있었습니다.

왼쪽 위: 악성코드로 하여금 사용자 개인정보를 C&C 서버에 업로드하도록 지시하는 코드

오른쪽 위: 실행 명령이 포함된 문자 메시지가 올 때까지 대기

왼쪽 중간: 제어 명령이 포함된 문자 메시지를 차단

오른쪽 중간: 해커가 설정한 규칙에 해당하는 단어나 발신자 번호가 포함된 문자 메시지를 차단

왼쪽 아래: 규칙은 주로 cmd_send_ 는와 같이 제어 명령에 사용되는 특정 키워드가 포함된 문자 메시지를 차단

오른쪽 아래: 악성코드로 하여금 문자 메시지를 가로채고 이를 C&C 서버에 업로드하도록 지시하는 코드


Research Paper


이러한 유형의 악성코드들은 동시에 여러 은행을 공격하도록 설계되었으며 주로 시스템

애플리케이션의 아이콘과 동일한 아이콘을 사용합니다.

이러한 통계는 곧 한국 은행을 표적으로 한 해커 조직들이 은행 사용자를 공격하기 위해 온갖

노력을 기울이고 있음을 의미합니다. 이들은 하나의 기업을 조직하여 지속적으로 발전하며

활발히 움직이고 있습니다.


모바일 뱅킹 세션 하이재킹 앱

안드로이드 악성코드와 이들이 접속하는 C&C 서버간 관계를 보여주는 지도

Research Paper



하나의 악성코드가 17개의 한국 은행을 표적으로 했습니다.

인기있는 앱의 가짜 버전

이러한 방식으로 사용자가 입력하는 모든 정보(카드

번호, ID 번호, 카드 비밀번호, 인증서 비밀번호 등)를

악성코드가 수집하고 이를 C&C 서버로 업로드합니다.

이 악성코드들은 음란물 애플리케이션, 구글 플레이 스토어 애플리케이션, 구글 검색 애플리케이션,

어도비 플래시 플레이어 등과 같은 다른 애플리케이션으로 위장합니다. 이들은 인기 있는

애플리케이션의 형태로 유포됩니다. 자신을 더 효과적으로 감추기 위해 이들 중 일부는 자신의

아이콘을 삭제하기도 하지만 나머지는 자신의 아이콘을 그대로 유지하며 실제 애플리케이션과

완벽하게 동일한 인터페이스를 표시합니다. 이 가짜 앱을 실행시킬 수 있는 다양한 동작이 등록되어

있으며 백그라운드 서비스가 계속 실행되면서 개인정보를 훔치고 해커의 명령을 모니터링합니다.

명령에 따라 악성코드는 다른 악성코드나 애플리케이션을 다운로드하거나 설치하고 파일이나

폴더를 생성하거나 삭제하며 녹음, 사진 촬영, 파일 업로드와 같은 동작을 수행합니다.

이러한 악성코드들은 17개의 한국 은행을 표적으로 하고 있습니다. 이 악성코드는 사용자의 SMS

메시지를 가로채고 이를 해커의 C&C 서버에 업로드합니다. 사용된 이미지들을 확인한 결과 상당히

많은 은행 사용자 인터페이스가 포함되어 있었습니다.

구글 플레이 스토어 애플리케이션의 아이콘이 가장 많이 사용되는데 모든 안드로이드 스마트폰에

설치되어 있기 때문입니다.[5]

이러한 유형의 악성코드에는 다양한 동작들을 통해 실행시킬 수 있는 방송 수신기(BroadcastRe-

ceiver)가 들어있습니다.[6] 수신기가 실행되면 여러 가지 백그라운드 서비스가 시작됩니다. 가장

중요한 서비스 중 하나가 현재 실행 중인 애플리케이션을 감시합니다. 악성코드가 표적으로 삼은

은행 애플리케이션이 실행되면 악성코드는 동일한 사용자 인터페이스를 이용하는 활동을 개시하여

은행 애플리케이션의 사용자 인터페이스를 대체합니다.

왼쪽: 방송 수신기가 전개하는 샘플 활동

오른쪽 위: 가짜 뱅킹 앱이 정상 앱을 대체하도록 하는 코드

오른쪽 아래: 가짜 앱이 표적으로 하는 은행이 어디인지를 보여주는 코드

Research Paper


다른 가짜 앱


어도비 플래시 플레이어, 페이스 톡, 일부 안티바이러스

애플리케이션과 같은 그 밖의 인기 애플리케이션들과 널리

사용되는 포털 사이트 애플리케이션들 역시 이러한

악성코드에 의해 악용되고 있습니다.

가짜 음란물 앱

악성코드는 음란물 아이콘과 ‘섹시한 여성들 사진’, ‘음란물

동영상’ 등과 같은 제목의 음란물 애플리케이션으로

위장합니다. 이 악성코드가 일단 설치되면 피해자의 은행

관련 정보를 훔쳐내 해커의 C&C 서버에 업로드합니다.

가짜 구글 앱

한국 은행을 표적으로 한 악성코드가 가장 많이 도용한

애플리케이션은 구글 플레이나 구글 검색과 같은 구글

애플리케이션들입니다. 본 문서에서는 연구를 위해 총

4,229개의 관련 악성코드를 데이터세트로 선택하였는데

이들 중 1,007개가 가짜 구글 애플리케이션이었고 994개가

가짜 구글 플레이 애플리케이션이었습니다. 이

애플리케이션들은 구글 플레이 애플리케이션과 동일한

아이콘을 나타내도록 설계되었고 애플리케이션이 설치되면

아이콘이 삭제됩니다. 구글 플레이 애플리케이션은 모든

안드로이드 폰에 사전 설치된 애플리케이션 중 하나이기

때문에 악성코드는 사용자를 더 교묘하게 속이고 자신을

감추기 위해 이러한 애플리케이션으로 위장합니다.

오른쪽: 은행의 사용자 인터페이스를 하이재킹하는 악성 앱들

왼쪽: 한국의 모바일 뱅킹 정보를 훔치는 가짜 음란물 및 그 밖의 앱 아이콘들

Research Paper


모바일 갱이 기기를 감염시키는 방법

SMS 피싱

다른 악성코드 이용

가짜 사이버 경찰청

뿐만 아니라 C&C 서버에 접속하여 해커의 명령을 모니터링하기도 합니다. 이러한 악성코드는 2013

년 9월에 처음 발견되었고 2014년 4월에 마지막으로 탐지되었으며 이는 해커 모바일 갱이

지속적으로 유지되고 있음을 보여줍니다.

한국 은행을 표적으로 한 악성코드를 유포시키는

악성코드들 중 하나가 바로 ‘가짜 사이버 경찰청’입니다.

이 악성코드는 사이버 경찰청으로 위장하고 ‘

[사이버경찰청] 사이버수사 인터넷 악플 명예훼손,

협박죄(진위여부) 확인 http://xxxx’와 같은 내용의 피싱

SMS 메시지를 이용하여 피해자를 감염시킵니다. 이

악성코드가 설치되면 한국 은행을 표적으로 한

악성코드를 다운로드하여 설치합니다.

이 악성코드들은 피싱 SMS 메시지를 통해 유포됩니다. 일부 기기들은 해커들이 피해자의 스마트폰에

다량의 SMS 메시지를 전송하는데 사용됩니다. 메시지들은 피해자들을 혼란스럽게 만들어 SMS의

피싱 URL에 연결된 악성코드를 다운로드 받아 설치하게 만듭니다. 이러한 기기들 중 하나인 GSM

모뎀은 한 시간 동안 9,600건 이상의 스팸 SMS 메시지를 전송할 수 있습니다.[7]

왼쪽: 16개의 SIM 카드 슬롯이 있는 GSM 모뎀

오른쪽: 피해자들이 수신한 피싱 SMS 메시지 샘플

아래: 가짜 사이버 경찰 앱으로 사용된 아이콘과 코드


Research Paper


가짜 '영화 인터뷰' 앱

모바일 갱의 C&C 서버 운영 방법


본 문서에서 다루는 악성코드들은 원격 액세스 도구(Remote Access Tool, RAT)로 설계되어

있습니다. 각 악성코드에는 해당 제어판이 있습니다. 제어판은 해커들이 피해자 휴대전화를 편리하게

검색하고 조작하기 위해 사용합니다.

영화 ‘인터뷰(The Interview)’는 최근 제작된 화제의 영화입니다(2014년11월25일). 이 악성코드는

많은 사람들을 감염시키기 위해 이 영화와 관련 있는 것처럼 보이게 제작되었습니다. 이 악성코드는

구현 방식이 매우 간단합니다. 2개의 버튼이 있는 사용자 인터페이스가 표시되고 버튼을 클릭하면

한국 은행을 표적으로 한 악성코드가 다운로드됩니다.

연변 모바일 갱이 사용한 악성 앱 제어판 샘플

Research Paper


모바일 뱅킹 악성코드 동향

우리는 관련 악성코드 및 이들과 연결된 C&C 서버에

대해 조사했습니다. 악성코드 샘플이 C&C 서버에

접속하면 위 그림 상에 두 지점을 잇는 선이 만들어

집니다. 많은 수의 악성코드를 호스팅하는 7개의

서버가 명확하게 확인됩니다. 이들은 두 개의 연결된

그래프로 구분되며 두 곳의 해커 조직이 매우 활발하게

활동하고 있음을 보여줍니다.

이번 연구에서 선택한 데이터에서 서버 1.234.38.88에 연결된 악성코드의 수는 174개였습니다. 이 174개의 악성코드들은 74대의

다른 서버에도 연결되어 있었습니다. 583개의 변종은 75대의 C&C 서버에 연결되어 있었고 이 중 11대가 10개가 넘는 변종을

호스팅하고 있었습니다.

악성코드들이 연결되는 C&C 서버와 이들을 탐지한 시간 및 악성코드 샘플을 분석한 결과 여러 가지 사실을 알 수 있었습니다. 먼저

각 해커 조직이 사용하는 많은 서버들이 악성코드를 호스팅하고 유포하고 있습니다. 두 번째로 2013년 12월 전에는 각 악성코드가

동시에 여러 C&C 서버에 접속하지만 그 이후로는 한 대의 서버에만 집중적으로 접속합니다. 2013년 12월 이전에는 악성코드 샘플

업데이트를 위한 서버, 사용자 정보를 수집하는 서버 그리고 사용자 기기를 원격 제어하는 서버가 각기 다릅니다. 하지만 이후로는

해커들이 한 대의 서버를 이용하여 모든 작업을 수행합니다. 세 번째로 해커 조직은 2013년 8월 이후 지금까지 지속적으로 활동을

전개하고 있습니다.

악성코드가 이용하는 C&C 서버들은 각기 다른 국가에 분포되어 있고 다른 ISP를 통해 제공되고 있는데 이는 곧 해커들이

안티바이러스 애플리케이션이나 경찰로부터 자신의 서버를 보호하고 활동을 지속하기 위해 고군분투하고 있음을 의미합니다.

174개의 안드로이드 악성코드가 74대의 다른 서버외에도 특정 서버에 접속했습니다.

우리가 가지고 있는 데이터에서는 첫 번째 샘플이 2013년 5월에 발견되었습니다. 2014년 1월

이전까지는 악성코드의 수가 기하급수적으로 증가했는데 연변의 거의 모든 해커 조직들이 악성코드

소스 코드를 공유하면서 바이러스 변종을 쉽게 제작할 수 있었기 때문입니다. 2014년 이후로는

악성코드의 수가 급격히 줄어들었는데 안티바이러스 애플리케이션에 점차 휴리스틱 탐지 패턴이

추가된 것이 주된 이유이며 이로 인해 탐지 회피가 어려워지면서 높은 기술력을 보유하지 못한 해커

조직이 공격을 포기하게 되었습니다. 2014년 4월 이후로는 수치가 일정 수준을 유지하고 있으며

높은 기술력을 가진 해커 조직들만이 안티바이러스 회사를 상대로 고군분투하고 있습니다.

왼쪽: 월별 모바일 뱅킹 악성코드 탐지수

오른쪽: 안드로이드 뱅킹 악성코드와 C&C 서버 7개와의 관계를 나타내는 지도


Research Paper


C&C Server ISP and Country Information

IP Address ISP Country

1.234.38.88 SK Broadband South Korea

192.151.226.138 Radium Hosting China

110.34.233.250 VPLS Thailand

192.151.226.133 Radium Hosting China

118.10.42.251 Open Computer Network Japan

103.228.66.249 Undisclosed Hong Kong

한국 은행을 표적으로 하는 악성코드군은 매우 빠르게

발전하고 있습니다. 일례로 여기에 속한 악성코드의 2개

샘플을 선택해 비교해 보았습니다. 이들 중 하나는 2013년

10월에 탐지되었고 나머지는 2014년 2월에

탐지되었습니다. 나중에 탐지된 샘플은 이전에 탐지된

샘플보다 6개 더 많은 클래스를 가지고 있는데 이는 곧 해커

조직들이 악성코드를 더 강력하고 적응력 있게 꾸준히

개발하고 있다는 것을 의미합니다. 새로 추가된 ‘BankS-

cardActivity’ 클래스를 예로 들자면 이 클래스는 은행

카드 관련 정보를 압축하여 업로딩하는 기능을 구현합니다.

왼쪽 위: 특정 날짜와 시간에 C&C 서버에 접속하는 안드로이드 악성코드의 수

오른쪽 위: 특정 날짜에 여러 서버에 접속하는 특정 안드로이드 악성코드의 샘플


Research Paper


결론


본 보고서는 한국 은행의 고객들을 표적으로 하며 현재 활발히 활동하고 있는 연변의 해커 모바일

갱에 대한 내용을 다루었습니다. 연구를 진행하는 동안 우리는 연변 모바일 갱이 상당히 체계적인

조직이라는 사실을 확인했습니다. 모바일 갱은 조직책에 의해 고용되거나 구성되었습니다. 이

조직책은 통역사, 카우보이 및 악성코드 제작자와 같은 모바일 갱원들을 BBS와 채팅 그룹을 통해

모집하였으며 모바일 갱원들은 2013년부터 한국 은행의 모바일 뱅킹 고객을 표적으로 하여 수십억

원의 수익을 얻고 있었습니다.

다른 위협들과 마찬가지로 사이버 범죄로부터 자신을 보호하기 위한 첫 번째 단계는 이러한 범죄를

인지하는 것입니다. 잠재 표적들은 새로운 동향에 빠르게 대처하고 지하 경제 시장 발전에 뒤쳐지지

않아야 모든 위협들로부터 자신을 보호할 수 있습니다.[8-10] 이번 공격의 피해자 사례는 동일한

문제를 안고 있는 사람들을 비롯한 모두가 스스로를 보호하는 데 도움이 될 것입니다.

모든 위협들로부터 자신을 보호하기 위한 첫 번째 단계는 위협을 인지하는 것입니다.

Research Paper


참조

[1] Wikimedia Foundation, Inc. (11 December 2014). Wikipedia. “Yanbian Korean Autonomous Prefecture.” Last accessed 29 January 2015, http://en.wikipedia.org/wiki/Yanbian_Korean_Autonomous_Prefecture.

[2] China Knowledge Online. (2014). China Knowledge. “Yanbian (Jilin) City Information.” Last accessed 29 January 2015, http://www.chinaknowledge.com/CityInfo/City.aspx?Region=NorthEast&City=Yanbian.

[3] Trend Micro Incorporated. (4 September 2012). TrendLabs Security Intelligence Blog. “The Chinese Underground , Part 5: Blackhat Techniques, Tools, and Training.” Last accessed 29 January 2015, http://blog.trendmicro.com/trendlabs-security-intelligence/the-chinese-underground-part-5-blackhat-techniques-tools-and-training/.

[4] Trend Micro Incorporated. (2014). Trend Micro Security News. “Cybercriminal Underground Economy Series.” Last accessed 29 January 2015, http://www.trendmicro.com/vinfo/us/security/special-report/cybercriminal-underground-economy-series/index.html.

[5] IDC. (2015). IDC. “Smartphone OS Market Share, Q3 2014.” Last accessed on 4 February 2015, http://www.idc.com/prodserv/smartphone-os-market-share.jsp.

[6] Google. (2015). Android Developers. “BroadcastReceiver.” Last accessed on 4 February 2015, http://developer.android.com/reference/android/content/BroadcastReceiver.html.

[7] Lion Gu. (2014). Trend Micro Security Intelligence. “The Mobile Cybercriminal Underground Market in China.” Last accessed on 5 February 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-mobile-cybercriminal-underground-market-in-china.

[8] Max Goncharov. (2014). Trend Micro Security Intelligence. “Russian Underground Revisited.” Last accessed on 6 February 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/russian-underground-prices-drop-but-products-get-specialized.

[9] Lion Gu. (2014). Trend Micro Security Intelligence. “The Chinese Underground in 2013.” Last accessed on 6 February 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/the-chinese-underground-in-2013.

[10] Fernando Mercês. (2014). Trend Micro Security Intelligence. “The Brazilian Underground Market: The Market for Cybercriminal Wannabes?” Last accessed on 6 February 2015, http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/brazilian-underground-market-for-cybercriminal-wannabes.


Trend Micro Incorporated, a global leader in security software, strives to make the world safe for exchanging digital information. Our innovative solutions for consumers, businesses and governments provide layered content security to protect information on mobile devices, endpoints, gateways, servers and the cloud. All of our solutions are powered by cloud-based global threat intelligence, the Trend Micro™ Smart Protection Network™, and are supported by over 1,200 threat experts around the globe. For more information, visit www.trendmicro.com.

©2015 by Trend Micro, Incorporated. All rights reserved. Trend Micro and the Trend Micro t-ball logo are trademarks or registered trademarks of Trend Micro, Incorporated. All other product or company names may be trademarks or registered trademarks of their owners.

한국트렌드마이크로

서울 강남구 대치동 945-1 홍우빌딩 6층 (우 135-846)

www.trendmicro.co.kr

Tel. 02-561-0990

E-mail. [email protected]

Documents

연변 모바일 갱 - 한국트렌드마이크로 · 2014년, 트렌드마이크로는 중국의 모바일 갱 시장에 대한 면밀한 조사를 실시했고 이들이 여전히