무선공유기에 덫 치는 신종 트로이목마 등장

카스퍼스키랩 "악성DNS 설정 강제하는 '스위처' 중국 중심으로 확산"

컴퓨팅입력 :2017/01/06 18:26

관리가 허술한 무선인터넷공유기 설정을 조작해 인터넷 사용자가 가짜 사이트로 접속되게 만드는 신종 트로이목마 '스위처(Switcher)'가 발견됐다. 스위처 트로이목마에 감염된 무선네트워크가 중국을 중심으로 1천280개에 달하는 것으로 파악됐다.

카스퍼스키랩은 연구진이 최근 발견한 스위처가 라우터(공유기)의 도메인네임시스템(DNS) 설정을 바꿔 그에 연결된 기기 사용자를 피싱, 악성코드, 애드웨어 공격에 노출시킨다고 지난 5일 경고했다.

정상적인 DNS 설정 환경에서 인터넷에 접속하는 과정.

카스퍼스키랩 측은 사용자가 기기와 무선공유기 DNS 설정에 ▲101.200.147.153 ▲112.33.13.11 ▲120.76.249.59 등 악성DNS가 지정돼 있는지 확인할 것을 당부했다. 이가운데 하나라도 설정에서 발견됐다면 인터넷서비스업체에 지원을 요청하거나 무선 네트워크 관리자에게 경고해야 한다고 덧붙였다. 악성코드 공격을 차단하기 위해 공유기 관리 설정에 접속하는 계정과 비밀번호를 바꾸는 게 좋다고 조언했다.

조작된 DNS 설정 환경에서 인터넷에 접속하는 과정.

카스퍼스키랩 설명에 따르면 스위처는 안드로이드 운영체제(OS) 악성코드다. 안드로이드 기기 사용자를 매개로 무선공유기를 감염시켜, 그 DNS설정을 조작한다. 스위처 공격으로 DNS설정이 조작된 무선랜 공유기는, 정상적인 웹사이트에 방문하려는 사용자가 알아차리지 못하게 악성코드 감염이나 정보 탈취를 목적으로 만들어진 악성 웹사이트로 보낼 수 있다.

카스퍼스키랩 측은 무선공유기의 DNS설정이 바뀌면, 해당 설정에 의존하는 네트워크내 모든 기기의 DNS설정도 바뀔 수 있다고 경고했다. 무선공유기가 일반적으로 네트워크 기기의 DNS설정을 직접 재구성할 수 있기 때문에, 스위처에 감염된 무선공유기가 있다면 그 네트워크로 인터넷을 쓰는 모든 사용자가 악성DNS를 쓰게 될 수 있다는 얘기다.

안드로이드 기기 사용자가 해커의 웹사이트에서 악성코드를 내려받는 게 스위처 트로이목마 감염의 첫 단계다. 해커 조직은 트로이목마를 심은 앱을 사용자들에게 홍보, 유포할 목적으로 웹사이트를 만들어 운영한다. 해당 사이트를 호스팅하는 웹서버는 악성코드 개발자의 명령제어서버 기능도 겸한다.

관련기사

악성코드는 중국 검색엔진 바이두의 안드로이드 버전 앱 또는 중국의 무선랜 정보를 공유하는 유명 앱 'WiFi万能?匙'를 사칭한 형태로 유포된다. 악성코드는 최초 감염 기기가 연결한 무선공유기를 공격해 그 설정 관리 권한을 얻고, 성공시 DNS 설정을 해커가 제어하는 악성DNS로 바꾼다. 악성DNS는 주 시스템이 다운될 때에 대비해 보조DNS까지 지정된다.

이창훈 카스퍼스키랩코리아 대표는 "스위처 트로이목마는 네트워크 전체를 표적으로 삼고 개인 사용자든 기업이든 가릴 것 없이 네트워크에 연결된 모든 사용자를 피싱에서부터 2차 감염까지 크고 작은 위협에 노출시킨다"며 "변조된 설정은 라우터를 재시작해도 원래대로 돌아가지 않는 데다가 악성DNS가 중단돼도 보조DNS가 작동하기때문에, 탐지뿐아니라 제거도 어렵다"고 지적했다.