안드로이드 웹브라우저에서 사용자 몰래 채굴 (크립토재킹)

Android Web Users Victims of Cryptojacking Campaign

사용자가 w3FaSO5R이라는 보안문자(CAPTCHA)를 입력하는 동안 코인하이브 서비스를 통해 모네로를 채굴하는 웹사이트가 등장했으며, 악의적인 공격자들이 모바일 웹브라우저 사용자들을 목표로 하는 멀버타이징 캠페인을 벌여 이런 웹사이트로 재연결시키고 있습니다. 이런 공격을 크립토재킹(Crytojacking)이라고 합니다.

*모네로(Monero) : 가상화폐(암호화폐)의 한 종류

모바일 사용자를 대상으로 하여 사용자 몰래 채굴하는 크립토재킹(Crytojacking) 공격

멀웨어바이츠, 어베스트, 블리핑 컴퓨터에서는 이러한 공격이 지난 해 11월부터 시작된 것으로 보고 있습니다. 작동 방식은 간단합니다. 공격자들은 악성 광고를 이용하여 합법적인 사이트의 트래픽을 가로챈 후, 사용자들을 다른 사이트로 재연결시킵니다.

이 과정에서 모바일 사용자들은 특정 보안문자를 입력할 것을 요구하는 사이트로 재연결됩니다. 계속 웹서핑을 하기 위해서 사용자들은 스마트폰의 키보드를 이용하여 보안문자를 입력하게 될 것이고, 해당 사이트에서는 사용자 몰래 채굴하는 크립토재킹 스크립트를 불러와 실행하게 됩니다. 이 스크립트는 모네로를 채굴하기 위해 스마토폰의 CPU를 거의 100% 가깝게 끌어다 쓰게 됩니다. 이런 비정상적인 CPU 사용은 스마트폰의 영구적인 손상을 불러올 수 있습니다.

사실 이런 보안문자를 입력해봤자 딱히 아무 일도 일어나지 않습니다. 그저 구글 홈페이지로 돌아갑니다. 공격자들은 모네로를 채굴하는 것을 가능하면 길게 하기 위해 사용자들을 잡아두는 것에만 관심이 있을 뿐입니다. 그런 목적으로 굳이 보안문자를 스마트폰 키보드로 입력하게 하는 것입니다.

공격자들은 이러한 수법을 통해 한 달에 수천 달러를 벌고 있다고 추정됨

연구자들은 같은 페이지에, 같은 보안문자가 나오는, 멀버타이징 캠페인이 이용된 5개의 특정 사이트를 조사하였습니다. 그 결과 멀웨어바이츠에서는 트래픽 측정에 근거하여 공격자들이 5개의 사이트에서 1일 약 80만에 달하는 접속자를 끌어들이며, 접속한 사용자들은 평균적으로 채굴 페이지에서 4분 정도의 시간을 보낸다는 것을 알아냈습니다.

멀웨어바이츠는 모바일 기기에서 웹 필터링을 할 수 있는 보안 애플리케이션이 부족한 것이 공격자들이 이러한 채굴 공격을 처음 개발하고 배포한 이유라고 하였습니다. 배터리와 데이터를 아낀다는 이유로 모바일 백신의 사용을 꺼려하는 경우가 굉장히 많습니다.

안드로이드 사용자들은 스마트폰에서 사용자 몰래 채굴하는 공격이 스마트폰 CPU를 비정상적으로 100% 사용하게끔 만듦으로써 스마트폰에 영구적인 손상을 가져올 수 있다는 사실에 대해 잘 알아야 합니다. 따라서 모바일 기기에서 발생하는 채굴 문제를 가볍게 봐서는 안 됩니다.

웹 필터링이 가능한 모바일 백신과 그 백신이 지원하는 웹브라우저의 사용만이 거의 유일한 방어 수단

이런 크립토재킹 공격은 당해도 모르고 지나가는 것이 대부분입니다. 사용자들이 알기가 쉽지 않습니다. 그저 웹서핑 중에 PC나 스마트폰이 느려지거나 기기가 뜨거워질 뿐이죠. 자신도 모르게 채굴당하는 것입니다.

크롬이나 파이어폭스에서 No Coin과 같은 확장 기능을 사용할 수 있는 PC와 달리 스마트폰 등 안드로이드 기기에서는 안타깝게도 이런 크립토재킹 공격을 방어할 수 있는 수단이 별로 없습니다. 거의 유일한 방어 수단은 웹 필터링을 할 수 있는 모바일 백신의 사용입니다. 웹 필터링을 하지 못하는 모바일 백신은 크립토재킹 공격에 거의 무용지물입니다.

현재 웹 필터링을 할 수 있는 모바일 백신에서는 모바일 크롬 등 소수의 모바일 웹브라우저만을 지원하고 있다는 것도 문제입니다. 웹 필터링이 가능한 모바일 백신이 깔려 있어도 웹 필터링을 하지 못하는 웹브라우저를 사용하면 의미가 없기 때문입니다.

*모바일 크롬에서 웹 필터링이 가능한 모바일 백신 중 무료 제품은?

<AV-TEST 참가> Avast Mobile Security, McAfee Mobile Security(버전 4.9 이상), Sophos Mobile Security 등

<AV-TEST 미참가> AVG AntiVirus Free, Comodo Mobile Security 등

이를 제외한 대부분의 모바일 백신은 웹 필터링이 유료 제품에만 있거나, 웹 필터링이 아예 없습니다.

Alyac M은 웹 필터링이 없으며, V3 Mobile Security는 웹 필터링이 있다고 하기가 좀 애매합니다.

<참고>
https://www.bleepingcomputer.com/news/security/android-web-users-victims-of-cryptojacking-campaign/