공식 구글 플레이스토어에서 악성 애플리케이션 발견
사용된 새로운 랜섬웨어의 이름은 차저(Charger)

[보안뉴스 홍나경 기자] 최근 구글 플레이스토어에 있는 안드로이드 애플리케이션에 랜섬웨어가 내장되어 있는 것이 발견됐다. 해커들이 모바일 기기를 공격할 수 있는 새로운 방법을 찾은 듯하다.



발견된 랜섬웨어의 이름은 차저(Charger)로 지어졌으며, 구글 공식 모바일 애플리케이션 스토어에 성공적으로 업로드 된 첫 랜섬웨어다. 반면 아직까지 애플스토어에서는 차저 랜섬웨어가 발견됐다는 소식이 없다.

차저 랜섬웨어를 처음 발견한 곳은 보안 솔루션 업체인 체크포인트(Check Point Software Technologies Ltd)이다. 체크포인트는 자신의 고객사 직원의 감염된 기기를 검사하던 중 차저 랜섬웨를 포함하고 있는 안드로이드 버전 배터리 세이빙 애플리케이션인 에너지레스큐(EnergyRescue)를 발견했다.

구글은 플레이스토어에서 차저 랜섬웨어를 포함하고 있는 에너지레스큐 애플리케이션을 제거한 상태이며 이제는 안전하다고 언급했다. 하지만, 이로 인해 일반 서드파티 업체의 앱 스토어보다 훨씬 안전하다고 여겨졌던 구글 스토어도 완벽한 건 아니라는 게 드러났다.

체크포인트는 랜섬웨어 차저의 위험을 알리면서 차저의 공격 방식은 모바일 기기 사용자들의 문자 메시지들과 연락처 목록을 몰래 훔치고, 기기 전체를 잠그는 것 즉, 암호화 시키는 것이라고 말했다.

공격을 받은 기기에는 “18만원을 지불하지 않으면 모바일 기기를 통해 훔친 개인정보가 다른 사이버 범죄자에게 팔릴 것”이라는 메시지가 뜬다. 또한, 핸드폰을 재부팅해도 소용없다는 경고 메시지도 나타난다고 한다.

“핸드폰을 끄는 것도 소용없는 짓입니다. 당신의 모든 데이터가 이미 우리들의 서버에 다 저장되어 있기 때문이죠. 만약 재부팅을 하더라도 여전히 정보를 갖고 있기 때문에 이것을 다른 은행 또는 사기 관련 사이버 범죄자들에게 팔아넘길 것입니다.”

또한, 체크포인트의 보안 연구원인 오렌 코리어트(Oren Koriat)와 앤드리 포코브니첸코(Andrey Polkovnichenko)는 랜섬웨어 차저가 요구하는 금액은 최근에 나타났던 데이터러스트(DataLust)의 그것보다 상당히 높다고 언급했다. 데이터러스트는 불법 성인 사이트 사용자들을 겨냥한 안드로이드 모바일 랜섬웨어로, 차저와 마찬가지로 기업이 아니라 개인 사용자를 주로 노린 멀웨어였다. 데이터러스트는 랜섬웨어의 피해를 복구하는 대가로 1만 5천원 정도를 요구한 것으로 알려졌다.

또한, 이전에 구글 플레이스토어에 업로드를 시도했던 멀웨어는 멀웨어 설치기인 드로퍼 하나만을 포함하고 있는데 에너지레스큐 애플리케이션은 모든 악성 코드들을 포함하고 있어 발견하는 것이 어렵지 않은 편이라고 말했다. 구글의 공식 발표에는 체크포인트가 문제를 발견하고 이에 대한 정보를 준 것에 대해 고맙다는 내용이 포함 되어있다. “현재 구글 스토어에 일어난 문제를 처리 중입니다. 계속해서 리서치 커뮤니티(체크포인트)들과 안드로이드 유저에게 안전한 서비스를 제공하기 위해 협력하도록 하겠습니다.”

애플처럼 구글도 지난 몇 년 동안 악성 앱들이 플레이스토어에 올라오는 것을 막기 위해 다양한 방법들을 실행했었다. 그럼에도 해커들이 여전히 랜섬웨어 차저와 같은 멀웨어를 구글 플레이스토어에 올릴 수 있다는 점을 감안하면 현재까지의 노력이 충분하지 않다는 것을 알 수 있다.

체크포인트 보안 연구가인 대니얼 패던(Daniel Padon)은 “이번 차저 랜섬웨어 공격과 같은 사건은 공격자들이 더 심화된 침입 기술을 사용하고 개발하고 있다는 것을 의미한다”며 “모바일 기기 사용자들은 공식 앱 스토어라고 무조건 경계를 풀어서는 안 될 것”이라고 설명한다. 일반 사용자의 엔드포인트에도 보안 솔루션이 점점 더 요구되고 있는 상태다.
[국제부 홍나경 기자(hnk726@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>