게이머를 표적으로 하는 악성코드

 

최근 게이머들은 출처가 밝혀지지 않은 사이트에 게시된 게임 프로그램 광고를 보고 의심없이 파일을 다운로드하는 경향이 있다. 이러한 심리를 이용해 공격자는 게이머들을 표적으로 해당 프로그램에 악성코드를 숨겨 사용자의 PC 및 모바일을 감염시키는 사례가 증가하고 있다.

게임 개발사인 Activision이 게임 치트 프로그램을 이용한 악성코드에 대해 경고하고, 정보를 공유했다. 또한, 보안 업체 Cisco Systems는 최근 XtremeRAT이 주로 게이머를 표적으로 유포되고 있다고 발표했다.

그리고 Minecraft 모바일의 모드 프로그램으로 위장한 앱을 통해 지속적으로 광고를 출력하는 악성코드가 현재까지도 유포되고 있으며 PC뿐만 아니라 모바일을 암호화하는 랜섬웨어가 인기 게임 Cyberpunk 2077로 위장하여 유포됐다.

 

Call of Duty : Warzone 악성 치트 프로그램

3월 말, 게임 개발사 Activision은 기존에 성행하던 게임 치트 프로그램을 통해 악성코드를 유포하고 있다고 발표했다. Call of Duty : Warzone의 치트 프로그램으로 알려진 “COD-Dropper v1”은 현재까지도 많은 사이트에 광고가 진행중이다.

“COD-Dropper v1” 프로그램은 악성코드를 숨기고 있으며 실행하면 사용자에게 실제 치트 프로그램 기능을 하는 [그림 1]과 같은 창을 띄우고, “cheatengine.vbs” 파일을 드랍하여 실행한다. 실행된 vbs 파일은 최종 페이로드를 다운로드하고 실행하며 정보 탈취 또는 사용자의 PC에서 암호 화폐를 불법적으로 채굴하는 동작을 한다.

 

[그림 1] COD-Dropper v1 치트 프로그램

 

악성 로더 프로그램

보안 업체 Cisco Systems는 게임 로더 파일로 위장해 XtremeRAT을 유포하는 캠페인에 대한 글을 게시했다. 해당 캠페인은 게임을 실행시켜 주는 로더를 실제로 실행하여 감염된 사실을 사용자에게 숨기고, 백그라운드에서 실제 악성코드를 실행한다.

백그라운드로 실행된 XtremeRAT은 사용자의 정보를 탈취하거나 공격자의 C&C 서버에서 보낸 명령을 통해 사용자의 PC를 제어한다.

 

[그림 2] 악성 게임 로더 프로그램

 

Minecraft Mobile 모드 프로그램으로 위장한 애드웨어

작년 7월부터 Minecraft의 모드 프로그램이라고 주장하는 악성코드가 플레이스토어에 등장하여 현재까지도 유포되고 있다. 해당 앱은 공격자가 봇을 이용해 많은 리뷰를 남겨 플레이스토어 상단에 노출될 수 있도록 함으로써 사용자를 속여 다운로드하게 만든다.

많게는 100만건의 다운로드 수를 가진 해당 악성코드는 실행 시 어떤 동작도 하지 않고 바로 종료되며 사용자가 해당 앱을 삭제하더라도 스마트폰에 남아 악성 동작을 지속한다. 악성코드에 감염되면 공격자의 C&C 서버를 통해 사용자의 모바일을 제어하고, 끊임 없이 광고를 출력하여 스마트폰 이용에 불편함을 준다.

 

[그림 3] Minecraft Mobile 모드 프로그램으로 위장한 애드웨어

 

Cyberpunk2077 모바일 게임으로 위장한 랜섬웨어

인기 게임 Cyberpunk 2077의 모바일 버전을 위장하여 랜섬웨어가 유포되고 있다. 현재까지 실제 Cyberpunk 2077의 모바일 앱은 존재하지 않으며 해당 악성 앱은 SNS를 통해 꾸준히 홍보하고, 플레이스토어에서 높은 평점을 유지하고 있다.

해당 악성코드는 실행 시 사용자 휴대폰의 권한을 획득하여 모든 파일을 암호화 하고, 랜섬머니로 500달러를 요구한다. 또한, 10시간 이내에 랜섬머니를 지불하지 않으면 암호화된 모든 앱들을 삭제한다.

 

[그림 4] 가짜 Cyberpuk 2077 Mobile 광고

 

이처럼 실제 게임의 로더 및 치트 프로그램으로 위장하여 게이머를 겨냥한 악성코드들이 증가하고 있다. 또한, 모바일 게임으로 위장하여 유포되는 악성코드는 실제 플레이스토어에서 판매되고 있으며 봇을 이용한 높은 평점과 많은 리뷰가 있어 사용자가 의심없이 다운로드하도록 유도한다. 따라서 프로그램 및 앱을 다운로드할 때에는 광고나 사용자 리뷰를 주의해서 살펴 볼 필요가 있으며 신뢰 불가능한 파일은 실행에 주의하여 악성코드 감염을 사전에 예방할 것을 권고한다.