구글 플레이에 있는 한 배터리 절약 앱, 실제 배터리 절약해줘
하지만 뒤에서는 정보 빼돌리고 C&C와 연락...공격자들이 앱 산 듯

[보안뉴스 문가용 기자] 악성 배터리 절약 앱을 통해 공격자들이 문자 메시지와 민감한 로그 데이터를 훔쳐갈 수 있다는 사실이 드러났다. 이 악성 앱은 안드로이드용으로 이미 6만 번 이상 다운로드 되었다고 한다.


이를 발견한 건 보안 업체 리스크IQ(RiskIQ)인데, “한 가지 재미있는 건 이 앱이 진짜로 배터리 절약 기능을 가지고 있다는 것”이라고 한다. 실제로 정직하게 기기의 배터리 상태를 확인하고, 원하지 않는 프로세스를 삭제하기도 한다는 것이다.

“실제로 전면에 드러낸 앱의 기능을 발휘하기 때문에 의심을 사기가 힘듭니다만, 뒤에서 악의적인 행동을 합니다. 그래서 기기 내의 여러 가지 정보들을 훔쳐내기도 하고, 광고를 클릭을 유발하기도 합니다. 그것이 이 앱의 진짜 정체인 것이죠.” 리스크IQ의 위협 분석가인 요나단 클린스마(Yonothan Klijnsma)의 설명이다.

클린스마는 “이미 구글 플레이에 이 같은 사실을 알리고 내려달라고 요청했다”고 설명을 이었다. “하지만 아직까지는 구글 플레이 스토어에 살아있는 상태입니다.”

공격은 사기성 경고 메시지로부터 시작한다. 안드로이드 사용자가 기기로 인터넷을 브라우징할 때 화면에 뜨도록 되어 있다. “팝업 텍스트가 뜨는데, 기기에 따라 조금씩 달라집니다. 사용자 행동 패턴을 감시해서 정교하게 내용을 변화시키는 건 아니고, 기기의 모델이나 브랜드를 파악해 팝업 창을 만드는 겁니다.”

또한 팝업 창은 굉장히 집요하다고 한다. “사용자가 취소를 눌러도 곧 다시 뜨기를 반복합니다. 설치를 누를 수밖에 없게 하는 것이죠.” 그래서 사용자가 팝업 메시지를 클릭하면, 보통은 다른 악성 웹 페이지로 옮겨간다. 그런데 이번 공격은 달랐다. 클릭하면 공식 구글 플레이로 사용자가 안내되고, 거기에 문제의 앱이 있었던 것이다.

그래서 배터리 절약 앱을 설치하기까지 이르면, 사용자로부터 다양한 권한을 허락받기 위해 요청한다. 민감한 로그 데이터 읽기, 텍스트 메시지 받기, 인터넷으로 정보 받기, 블루투스 페어링 등이 바로 그것이다. 그리고 실제로 배터리를 절약하기 위한 기능을 발휘하기 시작한다.

하지만 문제는 이 앱에 광고 클릭수를 높이는 백도어가 설치되어 있다는 것이다. 이 백도어는 전화기의 번호와 위치와 같은 정보를 훔쳐내기도 한다. 또한 리스크IQ는 이 백도어가 C&C 서버와도 연결되어 있는 걸 발견했다. “추적을 해본 결과 약 6만여 대의 안드로이드 장비가 이미 등록되어 있는 것으로 보였습니다.”

클린스마는 “인기 있는 앱에 저작권을 범죄자들이 통째로 사고, 여기에 악성 기능을 덧붙이는 수법이 발견되고 있다”고 말하며 “이번 앱 역시 그러한 사례로 보인다”고 한다. “실제로 정당한 돈을 주고 앱의 소스코드를 사는 거죠. 그리고 프리랜서 프로그래머를 고용해 추가 기능을 덧붙이는 겁니다.”

구글 플레이는 개발자 정보도 상세히 소개한다. 클린스마는 이를 통해 개발자를 추적하기도 했는데, “같은 개발자가 만든 앱이 구글 플레이에 또 있는 걸 발견할 수 있었다”고 한다. “하지만 이 앱은 구글이 스토어에서 제거했습니다.”

클린스마는 “최근 공격자들이 악성 페이지로 우회시켜 불법 APK를 다운로드 받게 하는 수법에서부터 진화하고 있다”고 설명한다. “그래서 진짜 합법적이고 정상적인 앱에 악성 기능을 살짝 덧대기만 합니다. 정상적인 기능을 한다고 해서 악성 앱이 아니라고 단정지을 수 없는 때가 됐습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>