어떤 안드로이드 앱도 자동으로 설치할 수 있는 트로이목마 애드웨어 패밀리 발견
삭제할 수도 없고, 안드로이드의 루트 감염시켜 공격자가 제한없이 접근할 수 있어

[보안뉴스 김경애] 최근 OS의 접근성 기능을 악용해 안드로이드 디바이스에 어떤 안드로이드 앱도 자동으로 설치할 수 있는 트로이목마 애드웨어 패밀리가 발견돼 이용자들의 주의가 요구된다.


지난 24일 알약블로그에 따르면 이번에 발견된 애드웨어 패밀리는 Shedun(GhostPush), Kemoge(ShiftyBug), Shuanet이며, 3개 애드웨어 패밀리는 모두 삭제를 방지하고, 공격자가 디바이스에 제한 없이 접근할 수 있도록 하기 위해 안드로이드의 루트(root)를 감염시킨다고 밝혔다.

특히, shedun 애드웨어 패밀리는 안드로이드 디바이스를 하이재킹 할 때 서비스의 결함을 악용하지 않고 정식 기능만을 사용함으로써 다른 애드웨어 패밀리보다 더 강력한 기능을 보유하고 있다.

shedun 애드웨어 패밀리가 설치될 때, Android Accessibility Service의 접근 권한을 허용하도록 사용자를 속이는데, 이 기능은 사용자가 스마트폰 기기와 상호작용하는 또 다른 방식을 제공해 주는 기능이다.

shedun은 Accessibility Service에 대한 접근권한을 얻어 △폰 스크린에 표시 되는 텍스트 읽기 △앱 설치를 묻는 프롬프트 창에 대한 결정 △권한 리스트 스크롤링 △유저의 어떠한 물리적 상호작용 없이 ‘설치’ 버튼 누르기 등의 악성행위를 수행하는 것으로 분석됐다.

이 트로이목마 앱은 구글 플레이 스토어에 공식 등록되어 있는 정상 앱들로 위장해써드파티 마켓에서 배포된다.

특히 shedun 앱들은 쉽게 언인스톨(삭제)이 되지 않으며, 사용자의 기기를 루팅시킨 다음 시스템 파티션에 자신을 설치하기 때문에, 공장 초기화 후에도 삭제되지 않고 남아 있는 것으로 알려졌다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>