2024-03-29 07:20 (금)
안드로이드 멀웨어 ‘Switcher’…당신의 라우터를 노리고 있다
상태바
안드로이드 멀웨어 ‘Switcher’…당신의 라우터를 노리고 있다
  • 페소아 기자
  • 승인 2017.01.04 18:21
이 기사를 공유합니다

“라우터 공격에 안드로이드 멀웨어가 사용된 것은 처음…라우터 계정 변경해야”

새로운 형태의 안드로이드 트로이 악성코드가 피해자의 무선 네트워크를 컨트롤할 수 있는 라우터를 공격하는 기능을 가지고 있어, 더 많은 사이버 공격, 데이터 탈취 등이 발생할 수 있다. ‘Switcher Trojan’이라 명명된 이 악성코드는 의심되지 않는 안드로이드 기기 사용자를 이용해 네트워크 상의 Wi-Fi에 연결된 모든 트래픽을 악의적인 범죄자에게 전송한다.

카스퍼스키랩 연구원에 따르면 라우터 공격에 안드로이드 멀웨어가 사용된 것은 처음이다. 미리 정의된 로그인/암호 조합 목록을 사용해 라우터의 관리 인터페이스에 침투한다. 이 작업은 라우터의 설정이 디폴트로 설정되어 있을 경우 매우 쉽게 이루어진다. 만약 공격에 성공하면 Switcher는 라우터의 DNS 설정을 변경해 감염된 네트워크의 DNS 쿼리를 공격자가 제어하는 네트워크로 라우팅하게 만든다. 이러한 유형의 DNS하이재킹 공격을 이용하여 공격자는 감염된 네트워크의 모든 트래픽을 모니터링해 다른 공격에 사용할 수 있는 정보를 얻을 수 있다.

C&C서버에서 얻어낸 정보에 따르면, 1,280개의 와이파이 네트워크가 Switcher Trojan에 의해 공격당했고, 모든 사용자의 트래픽이 해커나 범죄자들이 접속 가능한 네트워크에 보내어졌다. 심지어 공격이 탐지되더라도 백업 서버 덕분에 감염을 제거하기가 어렵다.

카스퍼스키랩 연구원, Nikita Buchka는 "성공적인 공격은 탐지가 어려울 뿐 아니라 수정 역시 어렵다. 공격에 의해 설정된 라우터를 재부팅해도 유지되고 불량 DNS가 사용중지된 경우에도 보조 DNS서버를 사용할 수가 있다"고 설명했다.

해당 멀웨어는 현재 주로 중국의 인터넷 사용자를 대상으로 두 가지 방법을 이용해 자신을 확산시키고 있다. 첫번째는 수정된 URL을 이용하여 중국 검색엔진인 바이두(Baidu)의 모바일 클라이언트로 위장하는 것이고, 두번째는 사용자간 네트워크 정보 공유 모바일 프로그램으로 위장하는 것이다.

사용자들은 이러한 종류의 공격을 피하기 위해서는 네트워크 라우터의 기본 아이디와 패스워드를 변경해야만 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★