VPN 앱으로 배포된 'Swing VPN'이 이용자의 몰래 DDOS 공격을 펼치고 있는 것으로 밝혀졌습니다.

Swing VPN app is a DDOS botnet | Greek geek
https://lecromee.github.io/posts/swing_vpn_ddosing_sites/

Swing VPN app is a DDOS botnet

tldr: Swing VPN is using its user base to DDOS sites using its users as a an attack botnet. Introduction It all started with a friend of mine complaining that his phone was doing a request to a specific app every few seconds. Initial assumption was that th

lecromee.github.io


이 행각을 발견한 lecromee 씨에 의하면 그의 친구가 자신의 휴대전화가 몇 초마다 특정의 ​​웹사이트에 리퀘스트를 송신하고 있다고 알린 것이 발단입니다. lecromee 씨는 당초 바이러스에 감염된 것은 아니라고 생각했지만 2분 정도 조사한 결과, 모든 요청은 VPN 서비스로 휴대전화에 설치된 Swing VPN으로부터인 것을 알 수 있었습니다. 이 앱은 친구가 방문한 적이 없는 특정 웹사이트에 요청하고 있었으며 요청 페이로드 중에는 해당 사이트의 리소스를 대량으로 요청하는 엔드포인트에 요청을 보내려는 의도가 포함된 특정 데이터도 포함되었습니다.


Swing VPN은 항공사 'Turkmenistan Airlines'가 관리하는 웹사이트 내의 아래의 페이지에 약 10초마다 요청을 전송하고 있었습니다.
https://turkmenistanairlines.tm/tm/flights/search?_token=J8SxUX2Qwzltw4LiHsRHTCtfthgBYxf4hyI8oNly&search_type=internal&depart


이 URL의 특이성에 lecromee 씨는 "이것은 오류가 아니며 사이트에 ping을 보내는 것은 아니라고 생각하고 조사를 시작했습니다.

우선 lecromee 씨는 통신로그를 확인하기 위한 앱 'pcapdroid'를 자신의 단말기에 인스톨하고 Swing VPN의 동작을 체크하자 약 10초마다 일종의 요청을 보내고 있음을 알 수 있었습니다.

한층 더 조사를 진행한 결과, Swing VPN은 'tm/flights/search'라는 플라이트 검색에 관련할 것 같은 엔드포인트를 요구하는 것이 판명. lecromee 씨는 “플라이트 검색은 많은 데이터베이스와 서버 리소스를 필요로 하는 매우 집중적인 작업이기 때문에 Swing VPN이 서버 리소스에 스트레스를 주어 일반 사용자가 필요할 때 액세스할 수 없게 하는 것은 분명하다”고 지적했습니다. 10초에 1회 정도의 요청이라면 DDoS 공격은 되지 않을 것으로 보일지도 모르지만 문제는 공격 실행자의 수에 있습니다. Swing VPN은 500만 회 이상 설치되어 있어 10으로 나누어도 초당 50만 건의 요청이 있을 수 있다고 추정했습니다.


Lecromee 씨는 “Swing VPN의 제작자는 다양한 기술을 사용하여 악의적인 행동을 난독화하고 숨겼습니다. 이는 스토어에서 앱을 다운로드한 일반 사용자에 대한 불성실한 행동으로 유저의 전화기를 자신들의 범죄행위의 도구로 사용하고 있다”고 비판했습니다. 덧붙여 Swing VPN은 Android 버전과 iOS 버전 중 문제가 되는 것은 Android 버전이라고 합니다.

Posted by 말총머리
,