Zimperium Global Mobile Threat Report 2023 (2)

Zimperium Global Mobile Threat Report 2023

 

 

 

2.1. Zimperium zLabs: 2023 연구 하이라이트

 

Zimperium zLabs Advanced Research Group은 전 세계 사용자를 대상으로 모바일 기기와 애플리케이션을 향한 위협을 지속적으로 조사합니다. zLabs팀은 2022년 매달 평균 77,000개의 고유한 멀웨어 샘플을 탐지했습니다. 2021년부터 2022년까지 총 멀웨어 샘플 수는 51% 증가했으며 920,000개 이상의 샘플이 탐지되었습니다.

 

1) Dirty RatMilad: Android Spyware

 

RatMilad는 소규모 조직에서 활용된 스파이웨어로 데이터 유출과 같은 기능을 갖고 있습니다. 전화번호로 SNS 계정을 확인할 수 있도록 하는 앱인 TextMe라는 스푸핑 앱 안에 숨겨져 있었습니다. 2022년 가을 zLabs는 NumRent라는 앱에 숨겨진 RatMilad의 실제 샘플을 발견했는데, 이는 TextMe의 업데이트 버전으로써 메시지나 SNS 게시물의 링크를 통해 배포됐습니다.

 

 

2) MoneyMonger: Malware Disguised by Flutter

 

2022년 말 발표한 MoneyMonger는 개인이 대출을 받을 수 있는 앱으로 위장하여 공격자가 개인의 데이터를 갈취할 수 있습니다. 크로스 플랫폼 앱을 개발하기 위한 오픈소스 소프트웨어 키트인 Flutter 앱에서 발견되었습니다. 공격자는 Flutter의 프레임워크를 활용하여 악의적인 기능을 난독화하여 기존의 모바일 보안 솔루션으로 탐지되지 않도록 할 수 있습니다. 

 

 

3) Dark Herring: Scamware Exceeds 100 Million Installations

 

지난해 보고서에 따르면 GriftHorse인 Android 트로이 목마 공격으로 70여 개국에서 천만 대의 모바일 기기를 감염시켰습니다. 2022년 초 zLabs는 또다른 Scamware인 Dark Herring를 발견했습니다. 이는 이동통신사의 직접 청구를 악용하여 사용자로부터 수억 달러에 달하는 손해를 입혔습니다.

 

 

4) Cloud9: Chrome Extension Enables Remote Device Control

 

2022년 가을 zLabs는 크롬 브라우저에 위험한 확장 프로그램을 발견했습니다. Cloud9은 브라우저 세션 중에 사용할 수 있는 정보를 갈취하는 기능을 가지고 있으며, 공격자가 감염된 장치의 제어권을 얻을 수 있도록 하는 멀웨어를 설치할 수 있습니다. 이 멀웨어는 가짜 실행 파일이나 Adobe Flash Player 업데이트 등 다양한 방식으로 배포됩니다.

 

 

5) Schoolyard Bully: Trojan Credential Stealer Afflicts 300,000 Victims

 

2022년 말 zLabs는 새로운 Android 트로이 목마인 Schoolyard Bully Trojan를 발견했습니다. 겉보기에는 합법적으로 보이는 교육용 앱 내에 숨겨져 있었으며 구글 플레이 스토어와 타사 앱 스토어 내 수많은 앱에서 발견되었습니다. 300,000명 이상이 피해를 입었으며 페이스북의 자격증명을 갈취하는 데에 중점을 두고 있습니다. 현재 구글 플레이 스토어에는 제거되었지만 타 앱 스토에서는 아직 남아있습니다.

 

---

2.2. 2022년 헤드라인을 장식한 10가지 모바일 공격

 

2022년 동안 모바일 위협은 계속 확산되어 뉴스를 생성했습니다. 2022년의 헤드라인은 전 세계에서 벌어지고 있는 사이버 공격의 지속적이고 위험한 특성과 오늘날 시행 중인 많은 모바일 기기 및 앱 보호 장치의 한계를 보여줍니다.

 

1) Pegasus Spyware

 

최근 몇 년동안 꾸준히 언급되어 온 NSO 그룹에서 개발한 Pegasus는 모바일 기기에 탑재되어 모든 방식을 통해 감시할 수 있습니다.

 

 

2) Emotet

 

공격자가 신용카드 데이터를 갈취하고 랜섬웨어를 설치하며 네트워크에 침투할 수 있도록 하는 멀웨어 입니다. 회피 탐지 기능을 더 발전시키며 2022년 가을 새로운 버전이 다시 등장했습니다.

 

 

3) QBot

 

2009년 처음 발견된 QBot은 민감한 정보, 종종 은행 정보를 도용하는 데 사용되는 위험한 유형의 멀웨어입니다. 2022년 가을 제로데이 익스플로잇을 악용하는 공격자가 멀웨어를 배포하여 일주일 만에 1,800명이상의 사용자를 감염시켰고, 그 중 기업 사용자가 절반에 달했습니다.

 

 

4) IcedID (aka. BokBot)

 

모듈식 뱅킹 트로이목마인 IcedID는 2017년 처음 발견되었을 때 기업 네트워크에 대한 초기 액세스 권한을 얻기 위해 사용되었습니다. 2022년 공격자는 악성 페이로드를 전달하기 위해 다양한 새로운 전술을 사용했습니다.

 

 

5) FluBot

 

2020년 12월 등장한 이후 지금까지의 Android 봇넷 중 가장 빠르게 성장한 멀웨어 입니다. 2022년 6월, 11개국이 참여한 국제법을 집행하여 FluBot의 인프라가 파괴되었습니다.

 

 

6) MaliBot

 

FluBot의 후계자인 MaliBot은 2022년 등장하여 스페인과 이탈리아의 은행 고객을 시작으로 전 세계 Android 사용자를 목표로 삼았습니다.

 

 

7) Hydra

 

Android 기기를 대상으로 하는 뱅킹 트로이 목마로써 모바일 기기에 Hydra가 설치되면 공격자는 사용자의 금융 자격 증명을 갈취할수 있습니다. 2019년 처음 발견된 이후 2022년 10월까지 두 번째로 흔한 형태의 모바일 악성코드 입니다.

 

 

8) Godfather

 

가짜 로그인 화면을 사용하여 피해자로부터 금전을 강탈합니다. 뱅킹 트로이 목마인 Anubis의 후계자로 2021년 처음 발견된 이후 2022년 10월까지 400개 이상의 금융 앱을 표적으로 삼았습니다.

 

 

9) Joker

 

감염된 기기에서 SMS 메시지와 연락처 목록을 수집합니다. 사용자 모르게 인앱 구매를 수행하고 프리미엄 서비스에 가입할 수 있습니다. 2022년 6월까지 50개의 Android 앱을 감염시켰고 30만 회 이상의 다운로드를 기록했습니다.

 

 

10) AgentTesla

 

고급 원격 액세스 트로이 목마(RAT)로 공격자는 사용자의 키 입력값을 수집하고 스크린샷을 캡처하며 정보를 도용할 수 있습니다. 2022년 전 세계 조직의 7%에 영향을 미치는 가장 널리 퍼진 멀웨어 변종 중 하나로 밝혀졌습니다.

 

---

2.3. 2023년 모바일 엔드포인트 보안 현황

 

1) 글로벌 모바일 기기 시장

 

The Radicati Group과 Statista의 보고서에 따르면전 세계적으로 모바일 기기 사용자는 2021년 71억 명에서 2025년까지 75억 명에 이를 것으로 예상됩니다. Apple과 삼성은 시장을 지배하는 스마트폰 공급 업체이며 모바일 인터넷 사용자 수는 50억 명으로 증가, 전 세계 인터넷 인구의 60% 이상이 온라인에 접속하기 위해 모바일 기기를 사용합니다. 모바일 인터넷 트래픽은 전 세계 웹 트래픽의 약 60%를 차지하며 데이터 양은 점점 늘어나고 있습니다.

 

 

 

2) 조직의 성공에 매우 중요한 모바일 기반 비즈니스 이니셔티브

 

원격 및 하이브리드 인력과 BYOD 정책의 지속적인 확산으로 모바일 유비쿼터스 시대에 도달했습니다. 기업들은 팬데믹 기간 동안 "언제 어디서나 업무를 수행할 수 있다"에 적응해야 했고 이로 인해 모바일 보안에 대한 필요성이 그 어느 때보다 중요해졌습니다. 보안팀의 입장에서는 모바일 기반 비즈니스 모델을 보호하기 위해 모바일 기기의 원격 측정법을 제로 트러스트 프레임워크에 통합하는 것이 필요합니다. 제로 트러스트 접근 방식은 사용자와 기기 모두에 모범 사례로 뿌리내려야 합니다. 중요한 비즈니스 정보에 접근하는 기기가 보안되지 않으면 피싱 링크 하나로 인해 심각한 피해가 발행할 수 있습니다.

 

 

3) 모바일 보안 동향

 

관리되지 않는 BYOD 기기를 업무용으로 사용하는 비율이 지속적으로 증가하고 있습니다. 이러한 추세는 모바일 위협이나 개인정보보호 문제, 법적인 문제와 결부되어 있기 때문에 취약성 격차를 확대합니다. 이러한 이유로 민간 및 공공 부문 조직 모두에서 소셜 미디어 및 악의적인 목적으로 정보를 노출할 수 있는 다른 앱의 사용을 금지하는 사례가 증가하고 있습니다.

 

모바일 기기는 사용자의 신원을 확인하기 위한 MFA(다중 인증)와 같은 목적으로 자주 사용됩니다.  그러나 Uber의 사례처럼 MFA는 쉽게 손상될 수 있습니다. 

 

이제 "모바일 보안이 중요하다" 라는 말은 더이상 이 아닙니다. 이 때문에 다수의 XDR(Extended Detection and Response) 플랫폼 공급업체들이 Zimperium의 모바일 보호 기능을 함께 통합하고 있는 이유입니다.

 

 

4) 진화하는 모바일 위협 환경

 

엔터프라이즈 보안팀은 비즈니스의 모바일 기반 이니셔티브를 보호하기 위해 노력하고 있습니다. 보안팀은 사용자와의 마찰 없이 생산성을 유지하도록 보장하는 동시에 모바일 기기를 보호할 수 있도록 해야합니다. 사이버 공격의 양과 정교함이 증가하면서 전 세계의 보안팀은 사무실, 직원, 네트워크 등에 포괄적인 보안 환경을 제공하기 위해 최신의 보안 상태로 유지해야 합니다.

 

 

① 랜섬웨어 공격

랜섬웨어 수익은 40% 정도 감소하였지만 활동은 둔화되지 않았습니다. 2022년 랜섬웨어 그룹은 약 4억 5천만 달러를 갈취했는데, 이는 전년도 7억 6천만 달러 대비 감소한 추세를 보입니다. 2022년은 파일 암호화 멀웨어 변종으로 인해 랜섬웨어 활동이 가장 활발한 해였습니다. 특히 모바일 기기를 대상으로 한 랜섬웨어 공격이 증가하였스며 2022년 Zimperium은 1만 7천 개의 고유한 랜섬웨어 샘플을 탐지했고 9만 개 이상의 공격으로부터 조직을 보호했습니다.

 

②  피싱

2022 FBI 인터넷 범죄 보고서에 따르면 피싱은 지난 5년 동안 최고의 인터넷 범죄입니다. 2021 Zimperium 글로벌 모바일 위협 보고서에 따르면 2021년에서 2022년 사이 모바일 기기를 대상으로 하는 피싱 사이트의 비율이 75%에서 80%로 증가했고 30만 명 이상의 개인에게 영향을 미쳤습니다.

 

③ 스파이웨어

모바일 기기는 인터넷 연결이 반드시 필요하다는 특성이 있기 때문에 스파이웨어의 완벽한 호스트 입니다. 스파이웨어는 사용자의 활동을 비밀리에 모니터링 미 제어하는 데에 사용될 수 있습니다. 2022년 Zimperium은 3천 개 이상의 고유한 스파이웨어 샘플을 탐지했습니다.

 

---

2.4. 2022년 모바일 애플리케이션 보안 현황

 

생산성을 높이고 비즈니스 성장을 가속화 할 수 있는 모바일 앱의 능력으로 인해 글로벌 비즈니스 내에서 모바일 앱의 사용이 점차 널리 확산되고 있습니다. 스마트폰의 확산과 더불어 인터넷 연결성이 향상되고 사용자가 정보 및 서비스에 편리하게 접근할 수 있어야 하기 때문에 기업은 모바일 앱을 채택하고 있습니다.

 

1) 모바일 애플리케이션의 진화

 

최근 몇 년동안 모바일 앱과 앱 개발은 기술의 발전과 사용자 행동 변화에 따라 빠르게 진화하고 있습니다. 

 

① 모바일 앱 수요의 증가

② 강조되는 모바일 앱 보안

③ 로우코드 및 노 코드 앱 개발의 증가

④ Android 및 iOS의 지속적인 지배 상황

 

 

2) 모바일 앱을 보호하는 방법의 차이점

 

모바일 앱의 보안은 웹 또는 데스트톱 애플리케이션의 보안과는 근본적으로 다릅니다.

 

① 공격자가 앱 코드에 접근하기 쉬움

② 앱 개발자의 통제를 벗어나 사용자의 기기에서 실행됨

③ 웹 애플리케이션과 서로 다른 노출 지점에 따른 보안 위험

④ 다양한 모바일 운영체제로 인한 플랫폼 별 문제

⑤ 서로 다른 프로그래밍 언어로 인한 취약성 발생

⑥ 디바이스 내 보안 매커니즘의 차이

 

 

3) 모바일 앱 보호의 진화

 

다음은 모바일 앱 보호의 진화에 따른 상위 다섯가지 동향입니다.

 

① 끊임없이 진화하는 후킹 및 스크립팅, 숨김 등의 리버스 엔지니어링 기술에 대비하기 위해 사전 예방적인 모바일 보안 솔루션이 필요합니다.

② 보안 엔지니어의 부족으로 앱 설계 시 보안 요구 사항을 충족시키지 못 할 가능성이 높으며, 능동적인 접근 방식보다 문제가 발생할 때만 해결하는 반응적인 대응에만 의존할 수 있습니다.

③ 모바일 앱 개발을 위한 DevSecOps가 발전하고 있으나, 모바일 보안 전문 지식의 부족 및 다양한 플랫폼 등으로 인한 파편적인 모바일 생태계, 보안과 편리함 사이의 균형, 타사 종속성 관리, 보안 도구의 제한된 가용성, 규제 요구 사항 등의 장애물이 있습니다.

④ 모바일 앱의 공급망 공격은 모바일 앱 생태계 내 다양한 영역에 걸쳐 있으며 공격 요인에는 손상된 타사 라이브러리 및 SDK, 공식 앱 스토어의 악성앱, 손상된 광고 네트워크, OTA(Over-the-Air) 업데이트의 취약성, 변조된 개발 도구 등이 포함됩니다.

⑤ Android와 iOS 플랫폼을 위한 단일 앱을 구축할 수 있는 하이브리드 앱은 최근 Dart 프로그래밍 언어를 사용한 Flutter의 인기가 높아지고 있음며 숙련된 개발자들이 늘어나고 있습니다.

 

 

4) 모바일 앱 보안 환경의 변화

 

모바일 앱의 보안 위협은 기술의 발전이나 진화하는 공격 기술, 모바일 앱의 환경 변화로 인해 지속적으로 진화하고 있습니다.

 

① 모바일 기기를 대상으로 하는 악성앱의 정교함

: 보안 조치 우회, 민감한 정보 갈취, 리소스에 무단 접근 등

② 애플리케이션 취약성

: 코딩 오류, 안전하지 않은 데이터 저장, 취약한 인증 메커니즘, 부적절한 암호화 등

③ 모바일 기기 자체의 취약성

: 기기 취약성, 운영체제 취약성, 패치되지 않은 소프트웨어 등

④ 부적절한 클라우드 스토리지 구성

: 부적절한 접근 제어, 잘못 구성된 보안 설정, 데이터 암호화 부족, 안전하지 않은 데이터 전송, 잘못된 보안 자격 증명 관리 등

⑤ 가짜 모바일 앱

: 악성코드 유포, 금융 사기, 데이터 도난, 브랜드 사칭, 사용자 안전 위험, 앱스토어 안전성 하락 등

⑥ 타사 앱 스토어

: 엄격한 보안 검사 부재, 악성 또는 위조 앱의 호스팅 가능성, 제한된 앱 리뷰 및 모니터링, 더딘 보안 업데이트, 사용자 인식 부족 등

 

 

5) 업계 표준과 규정

 

모바일 앱의 증가에 따라 규제 또한 진화하고 있습니다.

 

① 프라이버시 및 데이터 보호 : 유럽 일반 데이터 보호 규정(GDPR), 미국 캘리포니아 소비자 프라이버시법(CCPA)

② 모바일 결제 규정 : COTS 모바일 결제(MPoC)

③ 정부 지침 : NIS2 및 FDA의 통합 세출법, 2023(Omnibus)

④ 산업 표준 : NIST(National Institute of Standards and Technology), OWASP(Open Worldwide Application Security Project)

 

 

 

 

 

출처: Zimperium Global Mobile Threat Report 2023

2023 Global Mobile Threat Report - Zimperium