고전 게임 앱 설치하면 악성 APK 다운로드 받아
문자 사용료 갑자기 높아지면 의심해야...공격자가 기기 완전 장악 가능

[보안뉴스 문가용 기자] 구글 플레이 스토어에 등록된 고전 게임 애플리케이션들 일부에서 악성 행위가 발견됐다. 특정 게임을 설치하면 사용자 몰래 악성 APK 파일이 설치된다는 것이다. 이는 보안 업체인 앱소리티(Appthority)가 발견했다.


해당 게임들이 악성 APK를 다운로드 받는 곳은 골덕(Golduck) 멀웨어를 퍼트리는 서버인 것으로 드러났다. 설치에 동원되는 기법은 자바 리플렉션(Java reflection)이라고 한다. 이러한 현상이 발견된 게임들은 셸 명령을 실행하고 문자 메시지를 전송하는 것도 목격됐다.

악성 행위가 탐지된 고전 게임은 탱크(Tank)와 보머(Bomber)로, 구글 플레이의 사용자 평점도 높고 천만 번 이상 다운로드 됐다. 이러한 게임 앱들이 다운로드 받는 악성 APK는 hxxp://golduck.info/pluginapk/gp.apk에 호스팅되어 있으며 /system/bin/dex2oat 명령으 통해 로딩된다.

로딩된 gp.apk 파일 내에는 세 개의 폴더가 존재한다. google.android, startapp.android,unity.ads, unity.ads로 이름만 봐서는 수상한 기미가 보이지 않는다. 악성 코드는 google.android 폴더에 있었다. 앱소리티는 이 세 가지 폴더 내 내용물을 분석했고, 시스템 권한 허용을 사용해 애플리케이션을 몰래 설치하도록 하는 코드(PackageUtils.class)를 발견했다.

다행인 건 “악성 앱이 아직 고차원적인 수준에 이르지 않았고 코드 난독화도 적용되어 있지 않다”는 점이다. “아마도 공격의 초기 단계나 실험 단계에 있는 것으로 보입니다.”

해당 앱들에는 사용자 연락처를 통해 문자 메시지를 발송하는 기능도 포함되어 있었다. 게임에 관한 정보를 지인들에게 돌림으로써 게임을 더 설치하도록 유도하기 위함이다. 일종의 배포 전략이다.

골덕 멀웨어에 감염되면 공격자들이 기기들에 대한 완벽한 통제권을 가져갈 수 있다고 앱소리티는 설명한다. 특히 루팅된 기기들이라면 이러한 가능성은 더욱 커지며, 애드웨어와 관련된 공격 또한 가능하다고 한다.

앱소리티는 총 세 개의 게임 앱을 구글 플레이에서 발견했고, 이를 11월 20일 구글에 알렸다. Classic Block Puzzle, Classic Bomber, Classic Tank vs. Super Bomber가 바로 그것이다. 현재 안드로이드 보안 팀은 이 앱들을 모두 제거한 상태다.

골덕 멀웨어에 감염되면 기기에서 이상한 현상들이 발견되곤 하는데, 사용자들은 이를 주의 깊게 살펴야 한다고 앱소리티는 설명한다. “갑자기 사용자 동의 없이 루트 권한이 열렸다거나, 문자 메시지 사용료가 올라간다거나 하면 골덕을 의심해봐야 합니다.”

또한 앱소리티는 “앱을 설치하기 전에 반드시 개발자 정보를 확인하라”고 권장한다. “아무리 공식 앱 스토어에 있는 것이라도 얼마든지 ‘악성’일 수 있습니다. 지금으로서는 사용자들이 일일이 확인 작업을 해야 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>