구글 플레이 스토어 정책의 허점 노린 멀웨어들...사전 차단 쉽지 않아

요약 : 티봇(TeaBot)이라는 안드로이드 트로이목마가 다시 나타났다. 그것도 지난 번에 퇴출됐던 구글 플레이를 다시 한 번 뚫어낸 것으로 밝혀졌다. 보안 업체 클리파이(Cleafy)에 의하면 각종 QR코드 리더기나 유틸리티로 위장된 채 돌아다니고 있으며, 이미 수십만 번 이상의 다운로드를 기록하고 있다고 한다. 티봇은 구글 플레이에 등록될 때는 악성 기능을 가지고 있지 않으며, 사용자가 설치한 후 ‘소프트웨어 업데이트’를 진행하면서 악성 기능을 탑재한다.


배경 : 아낫사(Anatsa)라고도 알려진 티봇은 주로 SMS 메시지와 로그인 크리덴셜을 훔쳐내는 것을 주 목적으로 하고 있다. 러시아, 중국, 미국의 모바일 뱅킹 사용자들이 주요 피해자들이며, 작년에 처음 발견됐다.

말말말 : “공식 애플리케이션 스토어들은 이걸 막을 수가 없습니다. 처음부터 악성 기능을 가지고 있지 않기 때문입니다. 보안 정책의 허점을 노리고 공격자들이 파고 든 것으로, 많은 해커들이 이러한 기법을 통해 스토어를 뚫어냅니다.” -클리파이-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>