플레이스토어에 숨어든 멀웨어 조심해야

- Advertisement -

(출처:pxhere)

모바일 환경에서 활동하는 악성 프로그램이 많아지고 있다. 인터넷 사용환경이 기존 PC에서 모바일로 옮겨가면서부터다. 최근에는 구글 안드로이드 앱마켓 ‘플레이스토어’에 숨어든 멀웨어(Malware)가 발견되고 있다. 일반 앱으로 위장한 이 악성 프로그램은 플레이스토어에서 배포되고 있었다.

플레이스토어에 잠입한 뱅킹 멀웨어

네덜란드 보안업체 쓰레트패브릭(ThreatFabric)은 최근 은행을 노리는 트로이목마 제노모프(Xenomorph)를 발견했다고 밝혔다. 트로이목마는 과거 전쟁에서 쓰여진 ‘트로이목마’에서 유래한 멀웨어다. 보통 앱에 심어진 상태로 배포되며, 사용자 정보를 빼돌리거나 원격 조종하는 방식으로 피해를 입힌다. 제노모프는 영화 에일리언에 등장하는 외계 생명체를 가리키는 말이다.

제노모프는 ‘패스트클리너(Fast Cleaner)’와 같은 무료 앱에 심어졌다. 구글 플레이스토어에서 버젓이 배포되고 있었는데, 다운로드 횟수만 5만회 이상이다. 최소 안드로이드 기기 5만대가 이 멀웨어에 감염됐다는 말이다. 해당 앱은 지난 1월 말 플레이스토어에 숨어들었다. 내려받은 사용자는 스페인, 포르투갈 등 주로 유럽인으로 알려졌다.

쓰레트패브릭은 “악성 프로그램 배포자들은 점점 더 구글 플레이스토어에 몰래 숨어드는 데 힘을 쏟고 있다”며 “구글은 악성 앱을 줄이기 위해 몇 가지 조치를 취하고 있지만, 이 같은 노력만으로 악성 앱이 플레이스토어에 등록되는 것을 막지는 못한다”고 전했다.

(출처:쓰레트패브릭)

사용자 정보 가로채는 ‘제노모프’

쓰레트패브릭에 따르면 사용자들이 이용하는 56개 유럽 은행을 표적이 됐다. 이를 위해 제노모프는 사용자 기기에 접근성 권한을 부여하고, 거짓 로그인 화면을 띄워 각종 자격 증명과 개인정보를 빼돌렸다. 또 문자 메시지로 받은 2단계 인증 코드나 기기에 전달된 알람을 가로채기도 했다.

이는 2년 전 드러난 에일리언(Alien)과 유사한 방식이라는 설명이다. 에일리언은 지난 2020년 악명을 떨쳤던 악성코드 케르베로스(Cerberus) 이후 등장한 뱅킹 멀웨어다. 에일리언은 제노모프처럼 2단계 인증과 알람을 가로채는 능력을 지녔다. 보안 전문지 더 해커 뉴스(The Hacker News)에 의하면 에일리언은 지난해 11월 피트니스 트레이닝 앱으로 위장했다.

(출처:쓰레트패브릭)

쓰레트패브릭은 “제노모프가 훨씬 세부적으로 보이나 에일리언을 연상케 한다”며 “가장 흥미로운 점은 제노모프 구성을 저장하는 데 사용되는 파일 이름(Ring0)이 에일리언을 개발했다고 추정되는 이와 같다”고 설명했다.

또 “최근 뱅킹 멀웨어는 매우 빠른 속도로 지원하고 있고 범죄자들은 보다 정교한 개발 방법을 채택하고 있다. 제노모프가 이 선두에 있다”며 “제노모프는 시간이 더 지나면 다른 안드로이드 뱅킹 멀웨어와 견줄 만큼 높은 위협이 될 것으로 예상된다”고 우려했다.

(출처:쓰레트패브릭)

모바일 멀웨어 위협도 ‘심각’

지난해 구글 플레이스토어에서 누적 다운로드 횟수 1000만회를 넘긴 ‘바코드 스캐너(Barcode Scanner)’ 앱에서 멀웨어가 발견된 바 있다. 당초 QR코드와 바코드를 읽는 유용한 앱이었으나 업데이트 이후 원치 않은 광고를 만들어내는 악성 앱으로 변했다. 사실이 드러난 직후 바코드 스캐너 앱은 플레이스토어에서 삭제됐다.

이 같은 위협은 어제오늘 일이 아니다. 지난해 보안업체 카스퍼스키(Kaspersky)에 적발된 뱅킹 멀웨어는 9만7661개에 달한다. 모바일 랜섬웨어는 1만7372개, 악성코드 설치 패키지는 346만756개로 집계됐다. 사용자 공격에 사용된 소프트웨어는 멀웨어가 80.69%로 가장 많았다. 이어 무분별한 광고로 사용자 불편을 초래하는 애드웨어(16.92%), 악용 가능성이 있는 리스크웨어(2.38%) 순이었다.

(출처:카스퍼스키)

문제는 악성 소프트웨어들이 교묘하게 진화하고 있다는 것이다. 카스퍼스키에 따르면 구글 플레이스토어에는 악성 기능을 갖춘 앱 외에도 다양한 사기 앱이 있다. 예컨대 복지급여를 신청할 수 있는 서비스를 모방한 뒤 금전을 탈취하는 웹페이지로 유도하는 앱이 밝혀진 바 있다.

한국인 사용자를 목표로 한 트로이목마도 있었다. 페이크콜스(Fake Calls)로 불리는데, 은행에서 걸려온 전화를 끊고 사전 녹음된 응답을 재생한다고 알려졌다. 카스퍼스키 측은 “멀웨어가 더욱 정교해지면서 사이버 시장을 위협하는 이들이 계속 등장하고 있다”고 전했다.

테크플러스 에디터 윤정환

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories