• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

안드로이드 환경 침투한 새로운 멀웨어, 레드드롭 2018.03.01

레드드롭, 53개의 멀쩡한 안드로이드 앱 속에 숨어 침투
비공식 앱 스토어 통해 전달돼...공식 앱 스토어 사용 중요

[보안뉴스 문가용 기자] 겉으로 보기엔 멀쩡하고 정상적인 안드로이드 애플리케이션들에서 레드드롭(RedDrop)이라는 새로운 악성 소프트웨어가 발견됐다. 보안 업체 완데라(Wandera)의 성과로, 이미지 편집기나 계산기, 언어 학습기 등 총 53개의 안드로이드 애플리케이션들이 이 신생 멀웨어를 내포하고 있었다고 한다.

[이미지 = iclickart]


이러한 앱들이 안드로이드 기기에 설치되면 레드드롭은 최소 7가지 안드로이드 애플리케이션 패키지(APK)를 다운로드 받는다. 각각 악성 기능을 가지고 있으며 서로 다른 C&C 서버와 통신한다. 이 APK들은 시스템 메모리 내에 저장되기 때문에 사용자가 원래 설치하기 원했던 앱들 내에 악성 기능을 삽입할 필요가 없다고 완데라 측은 설명한다.

레드드롭은 기기에 저장된 모든 파일들을 훔칠 수 있다. 사진, 연락처 정보, 각종 영상은 당연하고, SIM 데이터, 애플리케이션 데이터, 통신사 관련 정보도 빼돌리며, 기기 주변에서 발생하는 소리들도 실시간으로 녹음할 수 있다. 이런 파일들은 전부 원격 파일 저장 시스템으로 전송된다.

또한 사용자가 레드드롭이 심긴 앱을 사용하게 되면, 레드드롭은 사용자 몰래 비용이 발생하는 SMS 메시지를 전송하고 곧바로 삭제한다. 그러한 문자 서비스 비용이 공격자의 이득으로 전환되는지 여부는 아직 밝혀내지 못하고 있다.

현재 레드드롭 앱들은 4000개가 넘는 도메인으로 구성된 네트워크로부터 배포된다. 이 도메인들 전부 한 개의 조직이 등록한 것들이고, 여태까지 나온 정보들을 보면 이 조직은 중국에서 활동하고 있는 것으로 보인다. 완데라의 CEO인 엘다 투베이(Eldar Tuvey)는 레드드롭이 여러 전략을 사용해 기기에 침투한다고 설명하는데, 가장 확산력이 좋은 방법은 중국의 검색 엔진인 바이두를 활용하는 것이라고 한다.

“그 외에는 전 세계에서 가장 큰 안드로이드 앱 스토어인 스카이모비(Sky-mobi)를 통해서도 위 앱들이 사용자들에 도달하고 있습니다. 또한 여러 광고 네트워크들을 통해서도 레드드롭이 퍼지고 있는 것으로 보입니다. 어떻게 해서든 사용자들이 의심 없이 다운로드 받을 수 있도록 하고 있습니다.”

대부분의 안드로이드 멀웨어들이 그렇듯, 레드드롭은 공식 플레이 스토어를 통해서는 사용자 기기를 감염시킬 수 없다. 즉 비공식 경로로 앱을 다운로드 받아 사용할 경우에만 존재하는 위협이라는 것이다. 공식 앱 스토어에서만 다운로드 받는 것은 모바일 보안에 있어 가장 기본적인 수칙이다. 물론 공식 앱 스토어에도 멀웨어가 침투하는 경우가 있긴 하지만, 비공식 스토어보다는 훨씬 안전하다.

또한 현재까지는 범죄자들이 노리는 표적은 중국 내 안드로이드 사용자에 국한된 것으로 보인다. 하지만 유럽과 미국의 사용자들도 공격 의도에 포함되어 있다는 것도 앱 분석을 통해 파악할 수 있었다.

완데라는 “중국에서만 활동하고 있고, 공식 플레이 스토어에는 없다는 이유만으로 레드드롭을 우습게 봐서는 안 된다”고 경고한다. “조사를 해보니 안드로이드 사용자의 20.6%가 비공식 경로로 앱이 설치되는 걸 허용해 놓고 있더군요. 공식 스토어를 사용하는 것이 안전하다고 보안 업계가 계속해서 권고해왔지만 말입니다.”

투베이는 “모바일 환경 내에 이러한 위협이 새롭게 등장했다는 소식을 들으면, 바로 환경설정 창으로 가서 서드파티 앱 다운로드가 불가능하도록 바꿔야 한다”고 말한다. 또 다른 보안 업체 콤패리테크(Comparitech)의 프라이버시 책임자인 폴 비쇼프(Paul Bischoff)는 “안드로이드 사용자들 중에 이러한 경우가 특히 많으니 기업 입장에서는 적어도 회사 기기의 환경설정을 직원들이 임의로 바꾸지 못하게 해야 한다”고 주의 사항을 추가한다.

“또한 각자 자기의 기기를 가지고 업무를 진행할 경우, 회사가 환경설정에 관해 교육하고 가이드라인을 만들어 배포해야 합니다. 업무에 사용하고 싶으면 이 정도는 꼭 지켜달라는 메시지를 반복적으로 전달하는 것이죠. 가장 중요한 건 비공식적인 방법으로는 절대 앱을 받지 말라고 강조하는 겁니다.”

투베이는 “안드로이드 기기들을 전부 최신 버전인 오레오(Oreo)로 업그레이드 하는 것도 잊지 말아야 한다”고 덧붙인다. “오레오는 사용자가 수상한 앱을 사용자가 탐지하고 차단하기 더 쉽게 구성되어 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>