[디지털데일리 최민지기자] 최근 시스코 탈로스는 13개 아이폰을 대상으로 한 표적화된 공격을 파악했다. 이번 공격은 인도를 타깃으로 한 것으로 분석된다.
공격자는 등록된 디바이스를 통제하기 위해 오픈소스 모바일 디바이스 관리(MDM) 시스템을 구축했다. 공격자들이 디바이스들을 등록한 방법은 밝혀지지 않았으나, 해당 악성코드가 데이터 가로채기를 위해 특정 모바일 앱을 대체하려고 시도한 것으로 조사됐다. 현재 애플은 3개의 인증서를 포함해 공격을 방어하기 위한 조치를 취한 상태다.
공격자는 MDM 시스템을 통해 13개 대상 디바이스로 배포됐던 5개 애플리케이션들을 식별했다. 이 중 2개는 디바이스 기능을 테스트하고, 2개는 디바이스 위치 보고와 데이터 유출 역할을 맡았다. 나머지 하나는 문자메시지 콘텐츠를 훔치기 위한 목적으로 확인됐다.
메시징 앱인 왓츠앱, 텔레그램 등 합법적 앱에 기능을 추가하기 위해 ‘BOptions 사이드로딩’ 기법을 사용한 것으로 보인다. 이 기법의 목적은 동적 라이브러리를 애플리케이션에 삽입하는 것이다. 앱에 삽입된 악성코드는 전화번호, 일련번호, 위치, 연락처, 사진, 문자메시지, 텔레그램·왓츠앱 채팅 메시지 등 정보를 수집해 탈취한다. 이 정보를 통해 피해자를 조정하거나 협박, 뇌물 수수 목적으로도 활용 가능하다.
이 악성코드는 2015년 8월부터 사용됐으며, 번호 출처는 인도다. 로밍 기능이 비활성화된 상태에서 보다폰 인디아 네트워크를 이용하고 있었다.
시스코 탈로스 측은 “MDM이 점차 대기업에 널리 사용되고 있으며, 원격 관리를 허용하기 위해 디바이스에 추가 인증서를 설치하면 악의적 활동으로 이어질 가능성이 있다는 점을 사용자들은 인식해야 한다”며 “애플 iOS 신뢰 인증서 체인이 아닌 인증서를 설치하면 제3자 공격을 받을 수 있다”고 말했다.
이어 “사용자들은 원치 않는 링크나 요구를 클릭하기 전 신중하게 생각해야 하고, 디바이스에 조치를 취하도록 하는 모르는 전화를 받으면 자격 증명을 확인해야 한다”고 덧붙였다.