손전등 앱 가장한 악성코드, 안드로이드 사용자 신용정보 노려
[디지털데일리 최민지기자] 이셋코리아(http://www.estc.co.kr 대표 김남욱)는 안드로이드 기기를 대상으로 하는 새로운 악성코드를 발견했다고 21일 밝혔다.
구글 플레이 스토어에서 손전등 앱으로 위장한 이 트로이목마 악성코드는 명령제어(C&C) 서버의 명령에 따라 동적으로 악성기능이 제어된다. 게시된 손전등 기능을 제공하는 것 외에도 감염자의 신용정보를 유출하기 위한 다양한 추가 기능을 제공하고 있다.
적법한 앱으로 보이기 위한 가짜 화면을 표시하고 악성 행위를 숨기기 위해 감염된 장치를 잠글 뿐만 아니라, 문자 메시지를 가로 채고 가짜 알림 메시지를 표시해 인증 절차를 우회할 수도 있다.
이셋에 의해 ‘Trojan.Android/Charger.B’로 탐지되는 이 트로이목마 악성코드는 지난 3월30일 구글 플레이 스토어에 업로드됐다. 이달 10일 이셋 통지에 따라 스토어에서 추방되기 전에까지 5000여명의 사용자가 이를 다운받아 설치한 것으로 알려졌다.
앱이 설치되고 실행되는 즉시 기기 관리자 권한을 요청하는데, 안드로이드 6.0 이상의 사용자는 수동으로 사용 권한을 허용해야 한다. 이렇게 획득한 권한으로 자신의 아이콘을 숨기고 위젯으로만 표시된다.
실제 구글 스토어에 등록된 애플리케이션 패키지 파일(APK)은 암호화돼 악의적인 기능을 포함하고 있다는 것을 감지하기 어렵다. 감염 후 앱이 실행되면서 암호화된 APK 파일은 삭제되기 때문에 발견하기 힘들다.
악성코드는 먼저 감염된 장치를 공격자의 서버에 등록하고 장치 정보와 설치된 앱 목록과 함께, 전면 카메라로 촬영한 장치 소유자의 사진을 함께 전송한다. 특이한 점은 감염된 장치가 러시아, 우크라이나, 벨로루시에 위치하는 것으로 표시되면 C&C 서버는 악성 활동을 중지하도록 명령한다는 것이다.
더욱 심각한 문제는, 감염된 장치에서 특정 앱이 실행된 것으로 감지되면 C&C 서버는 피해자의 신용카드 정보나 은행계좌 인증 정보를 요청하는 가짜 스크린을 중첩해 표시되도록 해 중요한 금융 정보를 유출한다. 몇몇 금융앱 뿐만 아니라 페이스북, 왓츠앱, 인스타그램, 구글 플레이앱에 중첩되는 가짜 스크린을 확인했다.
최근 구글 플레이 스토어에서 손전등 앱을 다운로드한 사용자가 악성코드에 감염됐는지 확인하려면 설정에서 애플리케이션 관리자·앱 영역에서 손전등 위젯의 존재 여부를 확인하면 된다.
김남욱 이셋코리아 대표는 “앱을 다운로드할 때는 믿을 수 있는 공식 앱 스토어를 이용하고, 최근에 출시된 앱은 가능하면 다운로드를 늦추는 것이 좋다”며 “앱 설치 중 요구하는 사용 권한을 주의 깊게 살펴봐야 하며, 간단한 손전등 앱이 기기 관리자 권한을 요구한다면 악성 앱으로 의심해 볼 만 하다”고 말했다.
<최민지 기자>cmj@ddaily.co.kr
[인터뷰] 돈 되는 렌탈 데이터?...신상용 프리핀스 대표 “렌탈 창업부터 금융 솔루션까지 함께할 플랫폼”
2024-11-23 12:05:50행안부, 클라우드 네이티브 제도개선 착수…“공공SW 전반 변화해야”
2024-11-23 09:39:29주파수 재할당대가, 정부가 부르는게 값? “산정방식 검토 필요”
2024-11-22 18:23:52