• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사용자 몰래 가상화폐 채굴하는 악성앱, 혹시 나도? 2014.05.28

스마트폰 사용하지 않거나 충전 중일 때만 악성행위 수행  

악성앱이 설치돼 있다는 사실 인식하기 쉽지 않아


[보안뉴스 민세아] PC에만 국한되어 있던 가상화폐 채굴 악성코드가 스마트폰을 대상으로 하는 악성앱으로도 출현하고 있어 사용자들의 주의가 필요하다.



KISA가 발표한 ‘사용자 몰래 가상화폐 채굴하는 악성앱 분석’ 보고서에 따르면 가상화폐 채굴 동작은 지속적으로 과도한 연산을 함으로써 기기를 혹사시키고 수명을 단축시킬 수 있으며 많은 양의 전력을 소모한다. 이 때문에 공격자들은 자신의 기기 대신에 다수의 희생자 스마트폰을 사용하여 돈을 벌고 있는 것으로 보인다.


이번에 발견된 악성앱은 정상적인 앱의 기능을 갖고 있고, 사용자가 스마트폰을 이용하지 않거나 충전 중일 때에만 채굴 동작을 하도록 해 감염 사실을 교묘히 숨겼다. 이로 인해 피해자들 스스로가 자신의 스마트폰이 공격자에게 이용당하고 있다는 사실을 인식하기 쉽지 않아 피해가 커질 수 있다.


사용자가 스마트폰 화면을 깨워서 작동시킬 경우 해당 악성앱은 자신의 악성행위를 중지시키고 생성했던 파일들도 삭제한다. 이후 일정 시간 주기로 상태를 체크하다가 스마트폰을 사용하지 않는 상태일 때 다시 채굴을 시작한다.


특히, WiFi 연결 설정을 하지 않은 상태일 때에도 20시~7시 사이의 야간이면 스스로 WiFi를 활성화시키고 채굴을 시도한다. 이는 사용자가 잠을 자는 시간 동안 스마트폰을 이용해 채굴행위를 하기 위한 것으로 보인다.


또한 이 악성앱은 포인트 적립 앱으로 위장하여 게임 설치나 쇼핑을 통해서 포인트를 쌓을 수 있는 것처럼 보인다. 그러나 백그라운드에서는 충전중인지를 확인하여 채굴 활동을 하는 악성기능을 포함하고 있다.



채굴 활동을 하면 많은 연산을 하기 때문에 배터리가 급속히 소모되는데, 이로 인해 사용자가 악성앱 감염을 의심하지 않도록 하기 위해서 충전 상태일 때만 채굴 활동을 하는 것으로 분석됐다. 그리고 충전 중이더라도 온도가 높거나 충전율이 15% 이하이면 채굴을 바로 시작하지 않고 1분 간격으로 상태를 체크하며 대기하게 된다.


해당 악성앱은 안드로이드 인기 유료앱(Business Calendar Pro 등)에 채굴 악성코드를 주입한 후 리패키징(Repackaging)하여 블랙마켓 등에서 무료로 배포하거나 정상 앱 개발 시 의도적으로 채굴 악성코드를 일부 포함하여 배포한 것으로 추정된다.


이 가상화폐 채굴 악성앱은 악성앱임을 발견하기 어렵게 하기 위해 악성행위의 소스코드 패키지 이름을 ‘com.google.ads’라는 구글 광고 모듈의 이름으로 위장해 삽입했다.


또한 ‘com.stericson.RootTools’라는 오픈소스(Open Source) 프로젝트의 루팅(Rooting) 활용 모듈을 함께 포함하고 있었다. 이 모듈은 루팅 된 폰에서 관리자 권한으로 채굴 명령을 실행시키기 위해 쓰였다.


외국 보안기업 트렌드마이크로가 지난 3월 발표한 자료에 따르면, 이와 같은 앱이 구글 공식 플레이 스토어에 등록된 것을 발견해 구글에 삭제조치를 요청했다. 해당 앱은 당시 1백만 건 이상 다운로드 된 인기앱이었고 신고 이후 구글에 의해 삭제 조치됐다.


이러한 악성앱으로 인한 피해를 막기 위해서는 스마트폰 사용자 스스로 악성앱의 감염을 막기 위해서 알 수 없는 출처의 앱이 설치되지 않도록 설정해두고, 공격자에게 관리자 권한을 줄 수 있는 루팅은 자제해야 한다. 또한, 구글 공식 스토어 이외의 마켓에서 앱을 다운로드 받는 것은 인기앱으로 위장한 악성앱을 설치될 가능성이 매우 높기 때문에 지양해야 한다.


그러나 이번 사례처럼 구글 공식 스토어에도 악성앱이 등록되어 있을 가능성이 존재하므로 앱을 설치할 시에 과도한 권한을 요구하지는 않는지 항상 확인해 보고, 이따금 실행 중인 앱을 확인하여 불필요하게 실행되고 있는 앱이 있으면 삭제조치 해야 한다.


그리고 기기의 성능을 주기적으로 체크하는 것도 중요하다. 평소와 다르게 배터리 수명이 지나치게 짧아졌다거나 충전시간이 오래 걸리거나 데이터 사용량이 늘어났을 경우, WiFi가 자동으로 켜져 있는 경우 악성앱이 설치되었다고 단정 지을 수는 없지만 감염을 의심해 보는 것이 좋다.

 

[용어정리]

앱 리패키징(Application repackaging) : 정상적인 앱에 악성코드를 삽입하여 다시 제작하는 행위

오픈소스(Open source) : 프로그램의 소스코드를 공개하고 배포하여 누구나 사용할 수 있게 함

루팅(Rooting) : 안드로이드 플랫폼 모바일 기기에서 관리자 권한을 획득하는 것

[자료:한국인터넷진흥원(KISA)]


[민세아 기자(boan5@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>