• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

손전등 앱 잘못 다운받았다간 개인정보 유출된다고요? 2017.04.25

ESET, 손전등 앱으로 가장한 안드로이드 악성코드 주의 당부

[보안뉴스 원병철 기자] 안드로이드의 손전등 앱이 계속 말썽이다. 앱의 특성상 개인정보를 요구할 이유가 없음에도 사용자의 개인정보를 유도하는 것은 물론, 손전등 앱으로 위장한 악성코드도 심심찮게 발견되고 있다.

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 법인 이셋코리아(대표 김남욱, www.estc.co.kr)는 안드로이드 기기를 대상으로 하는 새로운 악성코드가 발견되어 주의가 필요하고 전했다.

▲ ESET이 발견한 손전등 앱 위장 악성코드[자료: 이셋코리아]


구글 플레이 스토어에서 손전등 앱으로 위장한 이 트로이목마 악성코드는 C&C 서버의 명령에 따라 동적으로 악성 기능이 제어되는 특징을 가지고 있다. 게시된 손전등 기능을 제공하는 것 외에도, 감염자의 신용정보를 유출하기 위한 다양한 추가 기능을 갖추고 있다. C&C 서버의 명령에 따라 적법한 앱으로 보이기 위한 가짜 화면을 표시하고, 악성 행위를 숨기기 위해 감염된 장치를 잠글 뿐만 아니라, 문자메시지를 가로 채고, 가짜 알림 메시지를 표시해 인증 절차를 우회할 수도 있다.

ESET에 의해 Trojan.Android/Charger.B로 탐지되는 이 트로이목마 악성코드는 2017년 3월 30일에 구글 플레이 스토어에 업로드됐으며, 4월 10일 ESET의 통지에 따라 스토어에서 추방되기 전에까지 약 5,000여 명의 사용자가 이를 다운받아 설치한 것으로 알려졌다.

앱이 설치되고 실행되는 즉시 기기 관리자 권한을 요청하는데, 안드로이드 6.0 이상의 사용자는 수동으로 사용 권한을 허용하는 것이 필요하며, 이렇게 획득한 권한으로 자신의 아이콘을 숨기고 위젯으로만 표시된다. 실제 구글 스토어에 등록된 APK 파일은 암호화되어 악의적인 기능을 포함하고 있다는 것을 감지하기 어려우며, 감염 후 앱이 실행되면서 암호화된 APK 파일은 삭제되기 때문에 발견이 어렵다.

악성코드는 먼저 감염된 장치를 공격자의 서버에 등록하고 장치 정보와 설치된 앱 목록과 함께, 전면 카메라로 촬영한 장치 소유자의 사진도 함께 전송한다. 특이하게 감염된 장치가 러시아, 우크라이나 또는 벨로루시에 위치하는 것으로 표시되면, C&C 서버는 악성 활동을 중지하도록 명령한다.

더욱 심각한 문제는, 감염된 장치에서 특정 앱이 실행된 것으로 감지되면 C&C 서버는 피해자의 신용카드 정보나 은행계좌 인증 정보를 요청하는 가짜 스크린을 중첩해 표시되도록 함으로써 피해자의 중요한 금융정보를 유출한다. 아직까지 어떤 종류의 앱이 대상인지 단정하기는 어렵지만, 몇몇 금융 앱뿐만 아니라 Facebook, WhatsApp, Instagram 및 Google Play 앱에 중첩되는 가짜 스크린을 확인했다.

ESET의 연구에 따르면, 이번에 발견된 악성 앱은 2017년 1월에 발견된 Android/Charger의 변형이며, 기기를 잠그고 몸값을 요구하던 이전 버전과는 달리, 다양한 악성 행위가 복합적으로 적용되어 C&C 서버의 통제를 받는 매우 진화된 형태다.

최근에 구글 플레이 스토어에서 손전등 앱을 다운로드한 사용자가 악성코드에 감염됐는지 확인하려면 설정 -> 애플리케이션 관리자/앱 -> 손전등 위젯의 존재 여부를 확인하면 되지만, 악성코드가 활성 장치 관리자를 끌 수 없도록 하기 때문에 제거하기가 쉽지 않다. 이 경우 동영상을 참조해 안전 모드로 부팅하면 앱을 제거할 수 있다.

이셋코리아의 김남욱 대표는 “이제 우리 생활에서 폭넓게 사용되고 있는 안드로이드 기기를 대상으로 하는 악성코드가 점점 지능적으로 진화하고 있다. 악성코드의 피해를 막는 가장 좋은 해결책은 예방”이라며, “앱을 다운로드할 때는 믿을 수 있는 공식 앱 스토어를 이용하고, 최근에 출시된 앱은 가능하면 다운로드를 늦추는 것이 좋으며, 해당 앱의 평판이나 리뷰를 참조하는 것도 좋다”고 말했다.

또한 김 대표는 “아울러 앱 설치 중 요구하는 사용 권한을 주의 깊게 살펴 봐야 한다. 간단한 손전등 앱이 기기 관리자 권한을 요구한다면 악성 앱으로 의심해 볼 만하다. 마지막으로, 신뢰할 수 있는 좋은 모바일 보안 솔루션을 사용하여 최신 위협으로부터 장치를 보호하는 것도 필요하다”고 강조했다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>