posted by 알짜 정보 岳岩 2019.09.30 07:58

다크웹에서는 모비혹, 일반 인터넷에서는 모브랫으로 판매되는 중
유튜브에 홍보 영상 올리기도...분석했더니 예전 멀웨어 복사한 것


[보안뉴스 문가용 기자] 모비봄(mobeebom)이라는 이름으로 활동하는 사이버 공격자가 새로운 안드로이드용 원격 접근 툴(RAT)을 시장에 내놓았다. 이름은 모비혹(MobiHok)으로, 분석해보니 이전에 활동했던 스파이노트(SpyNote)라는 원격 접근 툴을 재활용한 것이라고 한다.

[이미지 = iclickart]


이스라엘의 위협 첩보 전문 업체인 센스사이(CenseCy)가 모비혹이 판매되고 있는 걸 처음 발견했다. 당시에는 영어 구사자들이 모이는 다크웹 해킹 포럼에서 홍보와 거래가 이뤄지고 있었다고 한다. 하지만 모비봄이라는 인물을 추적하고 분석한 결과, 1) 여러 가지 가명으로 활동을 하고 있으며, 2) 모국어는 아랍어이고, 3) 여러 아랍어 기반 포럼에서도 활발하게 활동한다는 것을 알아낼 수 있었다.

재미있는 건 모비혹이 일반 인터넷에서도 거래가 되고 있다는 것이다. 이 경우 안드로이드용 원격 접근 혹은 관리 도구로서 홍보가 되고 있고, 이름도 모브랫(MobeRat)으로 조정된다. 모브랫에는 “절대 불법적인 목적을 위해 사용되면 안 된다”는 경고 문구도 붙어 있다고 한다. 그러나 판매자 모비봄의 행적을 봤을 때 그 문구는 말 그대로 장식용일 가능성이 높다.

모비봄은 이 멀웨어을 팔기에 혈안이 되어 있는 듯 하다. 유튜브에도 계정을 만들어 홍보 활동을 펼치고 있다. 모비혹과 관련된 영상을 세 개나 만들어 업로드한 상태로, 1) 전체적으로 훑어보는 영상 두 개와 2) 페이스북 인증 시스템을 우회하는 방법을 설명하는 영상 하나로 구성되어 있다. 첫 번째 영상은 7개월 전, 페이스북 우회 영상은 2개월 전에 업로드 됐다.

“하지만 모비혹을 그가 열정적으로, 혼자 힘으로 개발하지는 않은 것으로 보입니다. 모비봄을 지하 시장에서 추적하고, 그가 판매하는 멀웨어의 샘플을 분석했을 때, 모비봄은 이전에 유명세를 떨쳤던 안드로이드용 원격 접근 툴인 스파이노트의 소스코드를 어디선가 구해서 모비혹이라는 포장지만을 새로 입혔음을 알 수 있었습니다. 스파이노트의 소스코드는 이미 2016년에 유출된 바 있습니다.” 센스사이의 설명이다.

2016년, 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 보고서를 통해 스파이노트의 빌더가 유출되었다는 사실을 세상에 알린 바 있다. 그 후 3년이 지난 현재, 스파이노트는 일반 인터넷을 통해서도 얼마든지 구할 수 있는 프로그램이 되었다. 사용자들 사이에서는 자바로 구성된 무료 안드로이드 RAT로 알려져 있으며, 원격 관리용으로 활용되고 있다.

센스사이의 전문가들은 자사 블로그를 통해 “모비봄이 스파이노트의 소스코드를 확보하는 데 성공했고, 아주 약간의 변경을 거쳐 지금의 모비혹을 손쉽게 만든 것임이 분명해 보인다”고 주장했다. “그러고 나서 새로운 도구가 나온 것처럼 다크웹에서 판매하고 있는 겁니다. 다크웹에서 활동하는 사이버 범죄자들 사이에서 일어나는 사기 행각이 만연하다는 걸 보여주는 사례입니다.”

모비혹에는 1) 파일 접근, 2) 카메라 접근, 3) 키로깅, 4) 문자 메시지 제어, 5) 연락처 제어, 6) 삼성 보안 기능 우회, 7) 구글 플레이 보안 기능 우회, 8) 별도의 APK 앱과의 연동 등의 기능이 탑재되어 있다고 한다. 이들 중 대부분은 스파이노트에 이미 존재하고 있던 기능들이었다. 보안뉴스

3줄 요약
1. 모비혹이라는 새 안드로이드용 멀웨어가 판매되고 있음.
2. 추적해봤더니 예전에 유명했던 멀웨어를 거의 그대로 복사한 것임.
3. 다크웹에서 활동하는 해커들의 가장 큰 적은 다른 해커들.

댓글을 달아 주세요