이셋(ESET) 제품에 의해 ‘Android/TrojanDropper.Agent.BKY’로 진단되는 이 악성코드들은 합법적인 형태를 취하고 있으며, 악의적인 행위를 지연하기 위해 여러 단계의 동작을 거치는 안드로이드 악성코드군이다.

지금까지 8개의 악성 앱이 구글플레이 스토어에서 발견됐으며, 현재 모두 삭제된 상태지만 추가로 등록될 가능성은 여전히 존재한다.

이 악성 앱들은 모두 다단계 페이로드 구조와 암호화를 사용함으로써 악성코드로 탐지되는 것을 회피하고 있다. 다운로드 및 설치 후 악성코드로 의심을 받을 만한 권한을 즉시 요청하지 않으며, 심지어 사용자가 일반적으로 예상할 수 있는 행동을 모방함으로써 조기 탐지를 방지한다.

이를 위해 악성 앱은 첫 번째 페이로드를 해독하고 실행하는데, 이 첫 번째 페이로드는 구글플레이 스토어에서 다운로드한 최초 악성 앱의 데이터로 저장된 두 번째 페이로드를 해독하고 실행하며, 이러한 단계는 사용자가 알 수 없도록 백그라운드에서 일어난다.

두 번째 페이로드에는 하드코딩 된 인터넷주소(URL)를 포함하고 있어 또 다른 악성 앱을 다운로드 후 약 5분 이후에 이를 설치하라는 메시지가 나타난다. 두 번째 페이로드에서 다운로드한 악성 앱은 어도비 플래시 플레이어(Adobe Flash Player)와 같이 잘 알려진 소프트웨어나 안드로이드 업데이트, 어도비 업데이트 등 정상적인 앱으로 위장돼 있지만, 주요 목적은 마지막 페이로드를 설치하고 악성 행위에 필요한 모든 권한을 얻는 것이다.

마지막 페이로드가 설치되고 요청된 권한을 획득하면 이 페이로드를 해독하고 실행한다. 마지막 페이로드는 모바일일 뱅킹 트로이 목마로, 일단 설치되면 전형적인 모바일 뱅킹용 악성코드로 동작한다. 사용자에게 가짜 로그인 페이지를 제공해 로그인 정보나 신용카드 정보를 훔칠 수 있다.

이러한 앱을 다운로드한 경우 설치된 페이로드에 대한 관리자 권한을 비활성화하고, 추가 설치된 페이로드와 구글플레이 스토어에서 다운로드한 앱을 삭제해야 한다. 여러 단계의 다운로더는 난독화돼 있기 때문에 일반적인 안드로이드 악성코드보다 공식적인 앱 스토어에 등록될 가능성이 높다.

김남욱 이셋코리아 대표는 “발전된 난독화 기술을 이용한 악성코드는 배포되기 전에 이를 진단하기가 매우 어렵다”며 “새로운 앱을 다운로드할 때는 세심한 주의가 필요하며, 필요 이상의 권한을 요청하는 앱의 설치는 더욱 조심해야 한다”고 말했다.

<최민지 기자>cmj@ddaily.co.kr