엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼

2023-04-19 19:26
  • 카카오톡
  • 네이버 블로그
  • url
한국의 안드로이드 생태계에서 멀웨어가 대규모로 퍼졌다. 공격자들이 특정 앱들의 개발 과정에서 사용되는 라이브러리에 악성 코드를 심은 것이다. 이미 1억 회 이상 다운로드 됐는데, 사용자 개개인들의 대처가 필요하다.

[보안뉴스 문가용 기자] 데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공했다. 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 됐다. 한국에서 사용되는 애플리케이션 스토어들에서도 이 멀웨어는 발견됐으며, 따라서 더 많은 피해자들이 있을 것으로 예상되고 있다.


[이미지 = utoimage]

보안 업체 맥아피(McAfee)가 제일 먼저 발견한 이 멀웨어의 이름은 골도슨(Goldoson)이라고 한다. 라이브러리 형태로 안드로이드 기반 장비들에 침투하여 여러 가지 악성 행위를 실시할 수 있는 멀웨어라고 맥아피 측은 자사 블로그를 통해 경고했다. 골도슨에 감염된 앱들 중 높은 다운로드 수를 기록하고 있는 앱들은 다음과 같다.

1) L.POINT
2) L.PAY
3) Swipe Brick Breaker
4) Money Manager Expense & Budget
5) Lotte Cinema
6) Live Score
7) GOM
이 앱들은 구글 플레이에서는 1억 회 이상, 원스토어에서는 800만 회 이상 다운로드 된 것으로 조사됐다.

맥아피는 이러한 사실을 발견한 후 곧바로 구글 측에 연락을 했고, 구글은 앱 개발사에 연락을 취해 취약점을 제거하라는 요청문을 보냈다. 원스토어에서도 비슷한 조치가 취해졌는지는 밝혀지지 않고 있다. 일부 앱들은 구글 플레이에서 곧바로 삭제되기도 했지만 개발사에서 발 빠르게 대처해 취약점이 수정된 경우도 있다. 맥아피는 문제가 됐던 모든 앱들을 공개하며 사용자들에게 “최대한 빨리 업데이트 하라”고 권고하고 있다.

골도슨의 작동 방식
골도슨 라이브러리는 장비를 감염시킨 후 곧바로 공격자들의 C&C 서버에 등록시키고, 원격에 저장되어 있는 설정 파일들을 다운로드 받는다. 이러는 동안 화면에서는 앱이 정상적으로 실행된다. 라이브러리 이름과 원격 서버 도메인을 매번 바꾸기 때문에 잘 탐지되지 않는다. 골도슨은 맥아피의 연구원들이 제일 먼저 찾아낸 이름이라고 한다.

원격에서부터 불러들인 설정 파일에는 골도슨이 감염시킨 앱의 기능에 적용될 매개변수들이 저장되어 있다. 이를 통해 골도슨과 관련된 요소들이 어떤 주기로 실행될 지가 결정된다. 맥아피는 이 설정 파일들을 바탕으로 골도슨이 주기적으로 장비를 확인하고 정보를 빼돌려 원격 서버로 전송하는 것으로 분석하고 있다.

골도슨이 정보를 수집할 수 있는 건 QUERY_ALL_PACKGES라는 권한 허용 설정 때문이다. 설치될 당시 이 권한을 요청하고, 피해자는 통상 이 권한을 허용한다. 이 권한 때문에 골도슨은 사용자의 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근할 수 있게 된다. 이런 정보들을 조합하면 꽤나 정확히 피해자의 위치를 파악할 수 있게 된다고 맥아피는 강조했다. 안드로이드 11 이상 버전을 사용하고 있는 사용자들의 경우 이 권한 때문에 발생하는 피해의 범위가 적은 것으로 보인다.

골도슨은 사용자 모르게 웹 페이지들을 로딩하는 기능도 갖추고 있다. 공격자들이 이 기능을 활용할 경우 특정 광고의 조회수를 부풀릴 수 있게 되며, 이를 통해 부당한 수익을 가져갈 수 있게 된다. 또한 골도슨은 수집한 정보를 이틀에 한 번 꼴로 공격자에게 전송하기도 하는데, 공격자는 이 주기를 원격의 설정 파일을 통해 바꿀 수 있다.

서드파티 모바일 앱 구성 요소라는 리스크
서드파티 요소나 오픈소스 요소들을 통해 멀웨어를 퍼트리는 게 얼마나 효과적일 수 있는지가 골도슨의 발견으로 다시 한 번 드러났다. 개발자들은 소프트웨어를 만드는 과정에서 서드파티 코드나 라이브러리를 적잖이 사용하는데, 이 과정에서 검사를 제대로 하지 않고 기능성만 고려하는 경우가 거의 대부분이다. 그럼으로써 개발자들은 최초로 악성 구성 요소를 만든 사람을 대신해 멀웨어를 생산해 유포하는 것과 동일한 일을 하게 된다.

보안 업체 짐페리움(Zimperium)의 부회장 컨 스미스(Kern Smith)는 “공격자들이 정상적인 애플리케이션들을 개발자 모르게 감염시키는 데 능숙해 지고 있다”고 경고한다. “개발자 편에서의 꼼꼼한 서드파티 요소의 점검을 진행해야 합니다. 즉 시큐어 코딩이 좀 더 보편화 되어야만 한다는 뜻입니다.”

또한 모든 개발자와 개발사들이 보다 투명하게 소프트웨어 구성 요소들을 공개하고 공유해야 한다고 스미스는 주장한다. “이른 바 소프트웨어 물자표를 만들어 공유하자는 것이죠. ‘우리가 만든 소프트웨어에는 이런 저런 구성 요소가 들어가 있다’는 걸 투명하게 알리는 제도가 정착하면 어떤 악성 요소가 어떤 경로로 개입했는지, 쉽게 알 수 있거든요. 공동으로 대응할 수도 있고, 널리 전파되는 것도 막을 수 있습니다.”

3줄 요약
1. 서드파티 라이브러리의 모습을 한 멀웨어, 여러 안드로이드 앱 감염시킴.
2. 감염된 안드로이드 앱의 수는 60여 개, 다운로드 횟수는 1억 회.
3. 오픈소스 및 서드파티 구성 요소 보안이 필수.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기