정책적으로 암호화폐 채굴 기능 가진 앱은 플레이 스토어에서 금지시키는 구글
하지만 일부 게임 및 교육용 앱에서 채굴 코드 발견...아직 전부 제거되지는 않아

[보안뉴스 문가용 기자] 구글은 암호화폐 채굴 애플리케이션을 구글 플레이 스토어에 들어가도록 허락하지 않고 있다. 하지만 일부 개발자들이 몰래 암호화폐 채굴 애플리케이션들을 구글 플레이 내부로 들여놓는 데에 성공했다고 한다.


지난 1년 동안 악성 암호화폐 채굴 코드는 전 세계적인 골칫거리로 자리 잡았다. 암호화폐의 가치가 크게 올라감에 따라 사이버 공격자들이 안정적인 수입원으로서 암호화폐를 선택했기 때문이다. 그러면서 공격자들은 모바일 기기들도 노렸는데, 안드로이드 생태계가 가장 주된 표적이 됐다.

그런 가운데 보안 업체 소포스(Sophos)의 보안 전문가들은 최근 구글 공식 플레이 스토어에서 약 25개의 암호화폐 채굴 애플리케이션들을 발견했다. 이 애플리케이션들을 다운로드 한 사용자는 12만 명이 조금 넘는 수준인 것으로 보인다. 대부분 게임이나 도구, 교육용 앱인 것처럼 위장되어 있다고 한다.

소포스에 의하면 이번에 적발된 악성 앱들은 대부분 코인하이브(Coinhive)라는 자바스크립트 기반의 합법적인 브라우저용 모네로 전문 채굴 스크립트를 포함하고 있었다고 한다. 코인하이브 등의 채굴 스크립트는 GPU가 아니라 CPU를 활용하기 때문에 모바일 기기에서 사용하기에 알맞다.

코인하이브는 단 몇 줄의 코드로 되어 있고, 그렇기 때문에 웹뷰(WebView)가 엠베드 된 모든 브라우저에 추가될 수 있다. 또한 모네로는 채굴자의 신원, 코드의 진원지와 도착지, 채굴량 등을 철저하게 감춰주기 때문에 공격자들이 크게 선호한다.

“채굴 스크립트는 CPU 자원을 소모하기 때문에 기기 성능 저하 및 마비를 유발합니다. 모바일 기기라면 금세 과열될 수도 있고, 배터리가 빨리 닳는 모습을 보이기도 합니다. 보기에 따라서는 이 역시 굉장히 직접적인 피해입니다.” 소포스 측의 설명이다.

이번에 발견된 25개의 애플리케이션들 중 11개는 미국에서 실시되는 여러 가지 시험을 위한 ‘학습 및 준비’ 앱인 것처럼 위장되어 있었다. ACT, GRE, SAT 등의 시험과 관련된 앱이라고 한다. 그리고 11개 전부 가제티움(Gadgetium)이라는 개발자 계정과 연결되어 있기도 했다.

이 가짜 학습 앱들을 활성화시킬 경우 자바스크립트가 발동되어 웹뷰를 사용하는 HTML 패이지가 로딩된다. 그런 후 채굴이 시작되는데, 이 때 사용되는 지갑 주소는 앱 리소스에서부터 가져온다. 전부 코인하이브의 코드를 그대로 사용하지만, 두 개만은 co.lighton과 com.mobeleader.spsapp에서부터 채굴 코드를 가져오고 있다.

de.uwepost.apaintboxforkids라는 앱의 경우 인기가 높은 오픈소스 CPU 채굴 코드인 XMRig를 사용하고 있다. 이 앱은 모네로만이 아니라 여러 암호화폐 코인들을 채굴하는 것으로 알려져 있다.

소포스는 이러한 사실을 지난 8월 구글에 알렸다. 구글은 이 앱들 중 일부를 제거했으나 아직도 구글 플레이에 남아있는 앱들이 있다.

3줄 요약
1. 구글 플레이에서는 암호화폐와 관련된 어떠한 앱들도 금지되어 있다.
2. 그러나 일부 개발자들이 게임, 교육 앱 등에 채굴 코드를 숨겨 등록했다.
3. 이러한 앱이 25개 정도 발견됐는데, 아직 전부 제거되지는 않았다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>