이셋, 최근 안드로이드 에뮬레이터 녹스 플레이어 공급망 악용해 악성코드 유포한 사례 발견
사용자는 녹스 플레이어 즉시 삭제하고, 보안 위협 제거했다는 공지 이후 다시 사용해야

[보안뉴스 이상우 기자] 안드로이드 에뮬레이터 녹스 플레이어(NoxPlayer)를 악용한 공급망 공격이 발견돼 사용자 주의가 필요하다. 글로벌 보안 기업 이셋(ESET)은 최근 녹스 플레이어 업데이트 매커니즘을 변조해 공격자가 침투한 뒤 세 가지 형태의 맞춤형 악성 업데이트를 배포한 것을 발견했다고 밝혔다. 이셋은 이들 조직을 나이트 스카우트(NigthScout)로 명명하고, 이번 공격은 금전적 이득보다는 감시 및 정보 유출 기능만 확인됐다고 덧붙였다.


▲이번 공급망 공격의 표적 사용자가 소재한 국가[자료=이셋]

녹스 플레이어는 맥OS, 윈도우 등 타 운영체제 기반 장치에서 안드로이드 애플리케이션을 실행할 수 있도록 해주는 가상화 소프트웨어다. 주로 모바일 게임을 데스크톱이나 노트북 등에 설치해 실행하는 용도로 쓰이며, 약 150개 국가에서 1억 5,000만 명의 사용자를 보유하고 있다.

이셋 연구원은 “ESET 원격 분석을 기반으로 2020년 9월에 첫 번째 감염 지표를 확인했으며, 이번 주 명백한 악성 활동을 발견했다. 해당 내용을 녹스 플레이어 개발사에 전달할 때까지 악성 활동이 지속된 것으로 보인다”고 말했다.

또한, “특히, 이번 공격은 소수의 피해자만 식별한 고도로 표적 작업으로, 확인된 피해자는 대만, 홍콩, 스리랑카 등에 소재하고 있다. 감염된 소프트웨어와 악성코드에 포함된 감시 기능을 바탕으로 게임 업계와 관련한 대상에 대해 정보를 수집한 것으로 생각한다”고 덧붙였다.

사용자가 녹스 플레이어 실행 시 최신 버전일 경우, 해커가 침입한 업데이트 인프라는 이를 감지해 추가적인 업데이트를 내려받으라고 안내해 악성 업데이트를 설치하도록 한다. 해당 인프라가 공격돼 악성코드를 호스팅한 셈이다. 뿐만 아니라 클라이언트 자체가 공격자가 만들어놓은 서버에서 추가 페이로드를 내려받은 경우도 있다고 설명했다. 이셋은 과거 이러한 방식이 2018년 미얀마 대통령 사무실 웹 사이트 공급망 공격, 2020년 홍콩 대학 공격 등과 비슷한 유형이라고 덧붙였다.

이셋은 “녹스 플레이어 개발사인 빅녹스(BigNox)가 위협을 제거했다는 알림을 보낼 때까지 업데이트를 진행하지 말아야 하며, 소프트웨어를 제거하는 것이 가장 안전하다”고 말했다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>