추가적인 악성코드가 설치된 사용자는 랜섬웨어에 의해 몸값 요청을 받거나 장치 내의 금융 정보 등이 도용되는 등의 피해를 입을 수 있다. 이셋 보안 제품에 의해 ‘Android/TrojanDownloader.Agent.JI’로 진단되는 이 악성코드는 감염된 웹사이트 방문이나 플래시 플레이어(Flash Player) 업데이트를 가장해 배포된다.

악성코드가 설치되면 안드로이드 기기에 가짜 ‘배터리 절약’ 서비스를 추가한 후 주요 정보에 접근하기 위한 권한 부여를 요청한다. 일단 권한이 부여되면 사용자 작업 모니터링, 콘텐츠 검색 및 터치하여 탐색 등이 가능해진다. 공격자는 사용자 동작을 가장하고 화면에서 원하는 내용을 표시할 수 있게 된다.

이셋 악성코드 연구팀은 “이 트로이목마는 사용자의 은행 계좌에서 현금을 훔치기 위한 또 다른 트로이목마를 다운로드하도록 제작됐지만, 코드를 조금만 수정하면 사용자의 중요 정보를 유출하는 스파이웨어나 랜섬웨어로 동작이 가능하다”고 전했다.

사용 중인 안드로이드 기기가 이 악성코드에 감염됐는지 알려면, 접근성 메뉴 내 ‘배터리 절약’ 옵션의 존재 여부를 확인해야 한다. 배터리 절약 옵션이 존재하는 사용자는 이셋 모바일 시큐리티&안티바이러스 등 모바일 보안 솔루션을 사용하거나, 설정에서 앱 관리자 내 플래시 플레이어로 이동해 앱을 수동으로 삭제한 후 정상적인 앱으로 재설치해야 한다. 경우에 따라 특정 앱에 대한 관리자 권한을 부여했을 수도 있으므로 관리자 권한을 비활성화해야 한다.

수동으로 이 다운로더를 제거했다면, 추가 악성코드는 제거되지 않기 때문에 모바일 보안 솔루션을 사용해 삭제해야 보다 안전하다.

<최민지 기자>cmj@ddaily.co.kr