터키 안드로이드 앱 스토어 ‘CepKutusu.com’ 내 모든 앱 뱅킹 멀웨어에 감염
앱 스토어 백엔드 제어자가 사기꾼일 가능성부터 공격당한 것이란 추측까지
[보안뉴스 오다인 기자] 게임 애플리케이션을 다운로드 받았는데 플래시 플레이어가 깔렸다면? 터키의 ‘CepKutusu.com’이라는 안드로이드 앱 스토어는 사용자가 무엇을 다운로드 하든 원래 다운로드 하려던 앱 대신 플래시 플레이어로 가장한 뱅킹 멀웨어를 돌려줬다. 100% 감염됐다는 말이다.
[이미지=iclickart]
보안 전문 업체 ESET은 터키의 비공식 안드로이드 앱 스토어인 CepKutusu.com에 있는 모든 애플리케이션이 뱅킹 멀웨어에 감염돼 있다는 사실을 발견했다. 이 뱅킹 멀웨어는 원격 제어되는 바이러스로, SMS 메시지를 중간에서 가로채거나 보내고 가짜 활동을 보여주면서 다른 앱을 설치할 수도 있었던 것으로 드러났다.
ESET 연구진이 확인한 결과, CepKutusu.com에서 아무 앱이나 다운로드 받으면 그 앱 대신에 플래시 플레이어가 다운로드 되는 것처럼 보였다. 그러나 사실 플래시 플레이어도 아닌 뱅킹 멀웨어가 깔렸다. ESET은 이 같은 사실을 발견하고 앱 스토어 운영자에게 알렸으며 몇 주 뒤에 공격은 멈췄다고 밝혔다.
“안드로이드 마켓 전체가 감염된 건 평생 처음 본다”고 ESET의 안드로이드 멀웨어 전문가 루카스 스테판코(Lukas Stefanko)는 말한다. 스테판코는 CepKutusu.com 앱 스토어의 백엔드를 제어하는 사람이 사기꾼일 수 있다며, 그 또는 그들이 앱 스토어 내 각각의 앱에 대해서 악성 기능을 추가했을지 모른다고 지적했다.
보다 구체적으로 스테판코는 세 가지 시나리오를 생각해볼 수 있다고 밝혔다. 1) 앱 스토어 자체가 멀웨어를 퍼뜨리려는 목적에서 만들어졌다. 2) 원래는 멀쩡한 앱 스토어인데 나쁜 의도를 가진 직원에 의해 악성 사이트로 변질됐다. 3) 원래부터 멀쩡한 앱 스토어이고 나쁜 의도를 가진 내부자도 없지만 원거리의 공격자들에 의해 공격당했다.
그러나 스테판코가 보기에 2)번과 3)번의 경우, 오랜 기간 숨어있기가 어려웠을 것이라고 말한다. 사용자들의 불만이 폭증했을 것이고, 서버 로그나 코드 변경 등 의심스런 사항들이 많아 운영자들이 이미 눈치 채고 대응했을 거란 뜻이다. 이에 대해 ESET 연구진은 CepKutusu.com에 문의했으나 아무런 응답을 받지 못했다고 밝혔다.
또한 스테판코는 이번 경우가 공격자들이 “한 번 테스트해본 정도”에 지나지 않을 것이라고 지적했다. 앱 스토어 내의 모든 앱을 단 하나의 악성 앱으로 이어지게 해놓은 건 사실상 아무런 노력을 하지 않았다는 거다. 사용자라면 누구나 눈치챌 수 있었다는 맥락이다. “인기 있는 게임을 다운로드 받으려고 했는데 플래시 플레이어가 깔린다면 바로 삭제한 다음 누군가에게 보고하지 않을까요?” 스테판코는 의문을 던졌다.
그러나 추가적인 피해를 막기 위해 스테판코는 몇 가지를 권고했다. 1) 가능하다면 공식 앱 스토어에서 앱을 다운로드 받을 것 2) 인터넷에서 콘텐츠를 다운로드 받을 때, 파일명·사이즈·확장자 등에 의심되는 사항이 있는지 주의 깊게 볼 것 3) 최신 공격에서 자신을 보호하기 위해 믿을 만한 모바일 보안 솔루션을 사용할 것 등이다.
[국제부 오다인 기자(boan2@boannews.com)]
앱 스토어 백엔드 제어자가 사기꾼일 가능성부터 공격당한 것이란 추측까지
[보안뉴스 오다인 기자] 게임 애플리케이션을 다운로드 받았는데 플래시 플레이어가 깔렸다면? 터키의 ‘CepKutusu.com’이라는 안드로이드 앱 스토어는 사용자가 무엇을 다운로드 하든 원래 다운로드 하려던 앱 대신 플래시 플레이어로 가장한 뱅킹 멀웨어를 돌려줬다. 100% 감염됐다는 말이다.
[이미지=iclickart]
보안 전문 업체 ESET은 터키의 비공식 안드로이드 앱 스토어인 CepKutusu.com에 있는 모든 애플리케이션이 뱅킹 멀웨어에 감염돼 있다는 사실을 발견했다. 이 뱅킹 멀웨어는 원격 제어되는 바이러스로, SMS 메시지를 중간에서 가로채거나 보내고 가짜 활동을 보여주면서 다른 앱을 설치할 수도 있었던 것으로 드러났다.
ESET 연구진이 확인한 결과, CepKutusu.com에서 아무 앱이나 다운로드 받으면 그 앱 대신에 플래시 플레이어가 다운로드 되는 것처럼 보였다. 그러나 사실 플래시 플레이어도 아닌 뱅킹 멀웨어가 깔렸다. ESET은 이 같은 사실을 발견하고 앱 스토어 운영자에게 알렸으며 몇 주 뒤에 공격은 멈췄다고 밝혔다.
“안드로이드 마켓 전체가 감염된 건 평생 처음 본다”고 ESET의 안드로이드 멀웨어 전문가 루카스 스테판코(Lukas Stefanko)는 말한다. 스테판코는 CepKutusu.com 앱 스토어의 백엔드를 제어하는 사람이 사기꾼일 수 있다며, 그 또는 그들이 앱 스토어 내 각각의 앱에 대해서 악성 기능을 추가했을지 모른다고 지적했다.
보다 구체적으로 스테판코는 세 가지 시나리오를 생각해볼 수 있다고 밝혔다. 1) 앱 스토어 자체가 멀웨어를 퍼뜨리려는 목적에서 만들어졌다. 2) 원래는 멀쩡한 앱 스토어인데 나쁜 의도를 가진 직원에 의해 악성 사이트로 변질됐다. 3) 원래부터 멀쩡한 앱 스토어이고 나쁜 의도를 가진 내부자도 없지만 원거리의 공격자들에 의해 공격당했다.
그러나 스테판코가 보기에 2)번과 3)번의 경우, 오랜 기간 숨어있기가 어려웠을 것이라고 말한다. 사용자들의 불만이 폭증했을 것이고, 서버 로그나 코드 변경 등 의심스런 사항들이 많아 운영자들이 이미 눈치 채고 대응했을 거란 뜻이다. 이에 대해 ESET 연구진은 CepKutusu.com에 문의했으나 아무런 응답을 받지 못했다고 밝혔다.
또한 스테판코는 이번 경우가 공격자들이 “한 번 테스트해본 정도”에 지나지 않을 것이라고 지적했다. 앱 스토어 내의 모든 앱을 단 하나의 악성 앱으로 이어지게 해놓은 건 사실상 아무런 노력을 하지 않았다는 거다. 사용자라면 누구나 눈치챌 수 있었다는 맥락이다. “인기 있는 게임을 다운로드 받으려고 했는데 플래시 플레이어가 깔린다면 바로 삭제한 다음 누군가에게 보고하지 않을까요?” 스테판코는 의문을 던졌다.
그러나 추가적인 피해를 막기 위해 스테판코는 몇 가지를 권고했다. 1) 가능하다면 공식 앱 스토어에서 앱을 다운로드 받을 것 2) 인터넷에서 콘텐츠를 다운로드 받을 때, 파일명·사이즈·확장자 등에 의심되는 사항이 있는지 주의 깊게 볼 것 3) 최신 공격에서 자신을 보호하기 위해 믿을 만한 모바일 보안 솔루션을 사용할 것 등이다.
[국제부 오다인 기자(boan2@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)