로피...벌써 86개국에 퍼져나가...인도, 러시아, 남아공 심각
안드로이드용 다중 모듈 멀웨어는 제작 힘들어...1순위 경계 대상 아냐

[보안뉴스 문가용 기자] 복잡한 모듈 구조를 가지고 있어 ‘만물상’이라는 별명에 가장 적합한 안드로이드 트로이목마가 발견됐다. 떼었다 붙였다 하는 모듈이 많아 다양한 종류의 악성 행위들이 가능하다.


이 트로이목마의 이름은 Trojan.AndroidOS.Loapi 혹은 그냥 로피(Loapi)다. 백신 솔루션 광고 혹은 성인 콘텐츠 앱 광고를 통해 퍼지고 있다고 카스퍼스키 랩이 블로그를 통해 밝혔다. 여태까지 멕시코, 미국, 이탈리아, 프랑스, 독일을 포함한 86개국에서 총 46266번의 감염 사례가 발견됐다. 현재 가장 심각하게 시달리고 있는 나라는 인도, 러시아, 남아공이다.

로피의 가장 큰 특징은 다양한 모듈인데, 암호화 채굴 기능을 가진 것에서부터 광고를 자꾸 띄워서 사용자를 괴롭히거나 디도스 공격을 하는 모듈은 물론 사용자의 문자 메시지를 조작하고 다양한 서비스에 사용자 몰래 가입신청을 하는 등의 행위도 실시할 수 있다. 피해자의 기기로부터 HTTP 요청을 보내는 것도 가능하다.

로피가 한 번 설치되고 나면 제일 먼저 하는 일은 기기에 대한 관리자 권한을 얻어내는 것이다. 별 다른 기술을 쓰는 게 아니라 반복적으로 권한 허용을 사용자에게 요청한다. 사용자가 귀찮아서 허용할 때까지 계속한다. 또한 기기가 루팅된 것인지도 확인하지만, 루트 권한까지 악용하는 사례는 아직 찾지 못했다. 하지만 잠재적인 위험인 것은 확실하다고 카스퍼스키는 설명한다.

관리자 권한을 취득한 로피는 메뉴에서 아이콘을 숨기거나, 위장한 애플리케이션의 본래 기능을 흉내 내기 시작한다. 백신 앱으로 가장했으면 백신 활동을 하는 척 한다. 그리고 한 번 얻어낸 관리자 권한을 절대 빼앗기지 않으려고 한다. 예를 들어 사용자가 권한을 취소하려고 하면 화면을 잠그거나 옵션 화면을 닫아버린다. 또한 삭제도 안 되게끔 삭제방지 코드도 실행시킨다.

또한 로피의 존속에 위협이 되는 앱들을 탐지해내기도 한다. 정상적인 보안 앱이 대표적이다. 탐지한 후 계속해서 팝업 창 혹은 경고 메시지를 띄워 사용자가 삭제하도록 한다. 이 요청은 사용자가 실제로 삭제하기 전까지 계속해서 나타난다.

로피 공격의 첫 단계는 멀웨어 apk를 다운로드 하는 드로퍼다. 이 멀웨어 apk의 기능은 두 번째 악성 페이로드인 DEX를 다운로드 받는 것이다. 또한 세 번째로 실행될 모듈 역시 다운로드 받는데, 여기에는 광고, 프록시, 크롤러, 문자메시지, 채굴 모듈 등이 포함된다. 공격자는 이 모듈들을 통해 다양한 활동을 할 수 있다.

카스퍼스키는 “여러 가지를 염두에 두고 만들어진 멀웨어”라고 설명하며 “모듈들 덕분에 공격자는 트로이목마를 빠른 시간 내에 여러 가지 형태로 변신시킬 수 있다”고 말한다. 또한 2015년에 등장했던 포덱(Podex) 멀웨어와 관련이 있다는 결론도 내렸다. “안드로이드 멀웨어들이 ‘대를 이어’ 등장한다는 건 굉장히 드문 일입니다.”

그렇다면 앞으로 안드로이드 생태계에서도 다중 모듈 멀웨어를 걱정해야 할까? 카스퍼스키는 “아직 아니”라고 말한다. “이런 멀웨어가 하나만 있으면 범죄자들에게 큰 힘이 되긴 할 겁니다. 하지만 다양한 모듈에 따라 변신할 수 있는 트로이목마를 만든다는 게 절대로 쉬운 일이 아닙니다. 만들어 놓고도 계속해서 ‘최신화’하고 유지하기가 힘들어 포기하는 경우도 많죠.”

하지만 누군가 그 어려운 일을 해냈고, 앞으로도 어떤 모듈이 더 추가될지 모르기 때문에 로피 혹은 그와 비슷한 멀웨어의 등장을 경계해야 하는 건 맞다. 다만 벌써부터 다중 모듈부터 염두에 두고 안드로이드 환경을 보호하는 건 효율성이 떨어질 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>