뮤오리진, 리니지M, 네오플OTP, 해피머니, 액스, 넥슨 플레이 등 게임관련 계정정보 노려

[보안뉴스 원병철 기자] 최근 페이스북을 위장해 스마트폰의 게임관련 계정정보를 탈취하는 악성앱이 발견돼 주의가 요구된다고 이스트시큐리티 ESRC(시큐리티 대응센터)가 밝혔다. 이번에 발견된 악성앱은 페이스북을 위장하고 있지만, 페이스북 아이콘 모양이 최신 버전의 아이콘이 아닌 구 버전의 페이스북 아이콘을 사용하고 있는 것도 특징이다.


▲구 버전의 페이스북을 위장한 악성앱이 요구하는 권한들[자료=ESRC]

사용자가 만약 해당 앱을 정상 페이스북 앱으로 오인해 앱을 설치하면, 아이콘이 사라지며 사용자 입장에서는 마치 아무것도 설치하지 않은 것처럼 보인다. 하지만 해당 앱은 사용자 모바일에 정상적으로 설치되었으며, 사용자 몰래 백그라운드에서 기기제어, 전화 및 문자탈취, 녹음 등 다양한 악성 행위를 할 수 있다. 특이한 점은, 사용자 모바일 내 저장되어 있는 뮤오리진, 리니지M, 네오플OTP, 해피머니, 액스, 넥슨 플레이 등등 게임관련 계정정보를 탈취한다는 점이다.


▲정보 탈취 시도 앱 패키지명[자료=ESRC]

또한 내부 코드에 포함되어 있는 총 3개의 트위터 계정에서 c2를 받아와 탈취한 정보를 전송한다.


▲트위터 계정으로 부터 c2 획득[자료=ESRC]

하지만, 현재 코드에 적혀있는 트위터 계정이 모두 정지된 상태라서 따로 탈취한 정보를 전송하지는 않지만, 트위터 계정 정지가 풀리면 다시 악성 행위를 시도 할 가능성이 있다. 뿐만 아니라, 앱 코드 내부에는 본인인증 문구와 최신버전 업데이트의 문구가 있는 것으로 보아, 공격자가 추가적으로 본인인증을 이유로 계정정보 탈취 및 최신버전 업데이트의 이유로 추가 악성앱을 내려줄 가능성이 다분하다.


▲코드 내부에 포함되어 있는 재설치 유도 문구[자료=ESRC]

ESRC는 “스마트폰 사용자는 반드시 구글플레이나 앱스토어를 통해서만 앱을 설치하기를 권고하며, 알약M과 같은 모바일 백신을 사용할 것을 권장 한다”고 조언했다. 한편, 현재 알약M에서는 해당 악성앱을 ‘Trojan.Android.Dropper’로 탐지 중에 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>