29개 유틸리티 앱, 사실은 고차원적인 뱅킹 멀웨어
최근 유틸리티 앱 설치하려다 실패했다면, 설정 통해 삭제해야
[보안뉴스 문가용 기자] 구글이 최근 구글 플레이 스토어에서 29개의 앱을 삭제했다. 정상 앱처럼 위장되어 있었지만 사용자의 은행 관련 정보를 훔치는 코드가 포함되어 있다는 걸 발견했기 때문이다.
[이미지 = iclickart]
이 교묘한 앱들은 8월부터 10월까지 공식 플레이 앱 스토어에 있었다. 악성 앱이면서 2개월 남짓 공식 스토어에 있을 수 있었던 것은, 유틸리티 프로그램인 것처럼 위장되어 있었기 때문이다. 이 앱들은 기기 부스터, 클리너, 배터리 관리자, 오늘의 운세 등의 이름으로 포장되어 있었다.
이를 발견한 건 보안 업체 이셋(ESET)의 전문가들로, “이 앱들은 사실 복잡하고 고차원적인 기능을 가진 모바일 뱅킹 트로이목마였다”고 설명한다. “특히 시스템 내에 숨어있기 위해 많은 기능을 할애하고 있는데, 이는 비슷한 악성 앱들이 정상적인 금융 서비스인 것처럼 가짜 로그인 창을 화면에 띄우던 것과는 상반된 특징입니다.”
이 멀웨어들을 통해 공격자들은 원격에서 문자 메시지 등을 가로챘다. 즉 문자 기반의 이중인증 시스템을 뚫어내는 것도 가능했다는 뜻이다. 뿐만 아니라 통화 목록을 가로채는 기능과, 다른 앱을 추가로 다운로드하고 설치하는 기능도 가지고 있었다.
구글에 등록된 이 29개 앱들의 개발자 이름은 전부 다르다. 그러나 코드를 분석한 결과 유사성이 나타났다. 또한 C&C 서버들도 같았다. 그래서 이셋의 분석가들은 이 앱들이 전부 하나의 공격 단체가 만든 것이라고 결론을 내리고 있다.
이 앱들을 설치하면 어떤 일이 일어날까? “먼저는 오류 메시지가 화면에 뜹니다. 기기와 호환이 되지 않는다며 앱이 삭제됐다는 내용입니다. 하지만 이는 거짓입니다. 앱은 눈에 보이지만 않을 뿐 시스템에 설치되어 있거든요. 그리고 몰래 작동을 하고 있죠. 그런데 전부 이런 건 아닙니다. ‘오늘의 운세’ 앱의 경우 실제 점괘 같은 내용을 사용자에게 보여주기도 했습니다.”
이 앱들에 포함된 악성 페이로드는 암호화되어 숨겨져 있었다. 이 페이로드들이 실행되면 드로퍼가 활동을 시작하는데, 이 드로퍼는 제일 먼저 에뮬레이터나 샌드박스의 유무를 확인한다. 그 다음 안전하다고 판단될 때 페이로드의 복호화를 시작하며, 로더와 실제 뱅킹 멀웨어를 드롭한다.
이 최종 페이로드는 피해자 시스템에 이미 설치되어 있는 뱅킹 앱인 것처럼 위장한다. 이셋이 분석한 결과 “뱅킹 앱이 아니더라도, 다른 앱을 겨냥해 최종 페이로드로 감염시킬 수 있다”고 한다. 위장한 페이로드는 문자 메시지를 가로채고, 공격자의 의도에 따라 다른 앱을 다운로드해 설치한다.
이셋이 발견한 악성 앱은 총 29개였다. 이셋은 구글에 이 사실을 알렸고, 구글은 해당 앱들을 전부 삭제했다. 하지만 이미 3만여 번 다운로드가 된 상태였다. “그래도 한 가지 다행인 건 시스템에 오래 남아있는 기능이 이 악성 앱들이 없다는 겁니다. 그러므로 최근 유틸리티 앱을 다운로드 받았다가 설치 오류를 경험한 적이 있다면, 설정 메뉴를 통해 애플리케이션으로 가서 해당 앱을 삭제하면 됩니다.”
3줄 요약
1. 구글 플레이, 29개 유틸리티 앱 스토어에서 삭제. 왜? 뱅킹 멀웨어였기 때문.
2. 속아서 설치하면 설치 안 된다는 오류 메시지 뜨지만, 사실은 설치되어 있음.
3. 그리고 문자 메시지 가로채기 등의 악성 행위를 시작함.
[국제부 문가용 기자(globoan@boannews.com)]
최근 유틸리티 앱 설치하려다 실패했다면, 설정 통해 삭제해야
[보안뉴스 문가용 기자] 구글이 최근 구글 플레이 스토어에서 29개의 앱을 삭제했다. 정상 앱처럼 위장되어 있었지만 사용자의 은행 관련 정보를 훔치는 코드가 포함되어 있다는 걸 발견했기 때문이다.
[이미지 = iclickart]
이 교묘한 앱들은 8월부터 10월까지 공식 플레이 앱 스토어에 있었다. 악성 앱이면서 2개월 남짓 공식 스토어에 있을 수 있었던 것은, 유틸리티 프로그램인 것처럼 위장되어 있었기 때문이다. 이 앱들은 기기 부스터, 클리너, 배터리 관리자, 오늘의 운세 등의 이름으로 포장되어 있었다.
이를 발견한 건 보안 업체 이셋(ESET)의 전문가들로, “이 앱들은 사실 복잡하고 고차원적인 기능을 가진 모바일 뱅킹 트로이목마였다”고 설명한다. “특히 시스템 내에 숨어있기 위해 많은 기능을 할애하고 있는데, 이는 비슷한 악성 앱들이 정상적인 금융 서비스인 것처럼 가짜 로그인 창을 화면에 띄우던 것과는 상반된 특징입니다.”
이 멀웨어들을 통해 공격자들은 원격에서 문자 메시지 등을 가로챘다. 즉 문자 기반의 이중인증 시스템을 뚫어내는 것도 가능했다는 뜻이다. 뿐만 아니라 통화 목록을 가로채는 기능과, 다른 앱을 추가로 다운로드하고 설치하는 기능도 가지고 있었다.
구글에 등록된 이 29개 앱들의 개발자 이름은 전부 다르다. 그러나 코드를 분석한 결과 유사성이 나타났다. 또한 C&C 서버들도 같았다. 그래서 이셋의 분석가들은 이 앱들이 전부 하나의 공격 단체가 만든 것이라고 결론을 내리고 있다.
이 앱들을 설치하면 어떤 일이 일어날까? “먼저는 오류 메시지가 화면에 뜹니다. 기기와 호환이 되지 않는다며 앱이 삭제됐다는 내용입니다. 하지만 이는 거짓입니다. 앱은 눈에 보이지만 않을 뿐 시스템에 설치되어 있거든요. 그리고 몰래 작동을 하고 있죠. 그런데 전부 이런 건 아닙니다. ‘오늘의 운세’ 앱의 경우 실제 점괘 같은 내용을 사용자에게 보여주기도 했습니다.”
이 앱들에 포함된 악성 페이로드는 암호화되어 숨겨져 있었다. 이 페이로드들이 실행되면 드로퍼가 활동을 시작하는데, 이 드로퍼는 제일 먼저 에뮬레이터나 샌드박스의 유무를 확인한다. 그 다음 안전하다고 판단될 때 페이로드의 복호화를 시작하며, 로더와 실제 뱅킹 멀웨어를 드롭한다.
이 최종 페이로드는 피해자 시스템에 이미 설치되어 있는 뱅킹 앱인 것처럼 위장한다. 이셋이 분석한 결과 “뱅킹 앱이 아니더라도, 다른 앱을 겨냥해 최종 페이로드로 감염시킬 수 있다”고 한다. 위장한 페이로드는 문자 메시지를 가로채고, 공격자의 의도에 따라 다른 앱을 다운로드해 설치한다.
이셋이 발견한 악성 앱은 총 29개였다. 이셋은 구글에 이 사실을 알렸고, 구글은 해당 앱들을 전부 삭제했다. 하지만 이미 3만여 번 다운로드가 된 상태였다. “그래도 한 가지 다행인 건 시스템에 오래 남아있는 기능이 이 악성 앱들이 없다는 겁니다. 그러므로 최근 유틸리티 앱을 다운로드 받았다가 설치 오류를 경험한 적이 있다면, 설정 메뉴를 통해 애플리케이션으로 가서 해당 앱을 삭제하면 됩니다.”
3줄 요약
1. 구글 플레이, 29개 유틸리티 앱 스토어에서 삭제. 왜? 뱅킹 멀웨어였기 때문.
2. 속아서 설치하면 설치 안 된다는 오류 메시지 뜨지만, 사실은 설치되어 있음.
3. 그리고 문자 메시지 가로채기 등의 악성 행위를 시작함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.png)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
