누적 다운로드 수 합쳐서 총 2천만 건이 넘는 16개의 안드로이드 애플리케이션이 악성코드에 감염됐다.
지난 19일(현지 시간), 사이버 보안 회사 맥아피(McAfee)의 모바일 연구 팀은 자사 블로그를 통해 구글 플레이 스토어에 존재하는 새로운 악성코드를 발견했다고 알렸다. 총 16개의 악성 안드로이드 애플리케이션이 카메라, 환율 변환기, QR 코드 리더기, 메모, 사전 등 무해한 유틸리티 애플리케이션으로 사용자를 속였다고 밝혔다.
맥아피의 보안 팀은 구글에게 악성코드 발견 사실과 악성 안드로이드 애플리케이션을 알렸다. 구글은 16개 악성 애플리케이션 모두 삭제 조치했고 현재 플레이 스토어에서 내려간 상태다.
이번에 발견된 건 악성코드의 일종인 클릭커(Clicker)다. 클릭커는 유틸리티 애플리케이션으로 속여서 피해자가 아무런 의심 없이 설치하게 만든다. 이후 사용자가 애플리케이션을 사용하면 스마트폰이나 전자 기기의 제어권을 악성코드에게 넘겨 준다. 그리고 감염된 기기의 메모리를 활성 상태로 바꾸고, 피해자도 모르게 웹 페이지를 열어 광고 사기와 관련된 작업을 수행한다.
즉, 클릭커에 감염된 애플리케이션은 사용자 몰래 가짜 웹 페이지를 열고 광고를 누르게 만드는 피싱을 벌일 수 있다.
16개의 악성 애플리케이션에는 누적 다운로드 수 1000만 건 이상의 High-Speed Camera, 500만 이상의 Smart Task Manager, 100만 이상의 Flashlight+, 50만 이상의 Quick Note와 Currency Converter, 10만 이상의 Joycode, EzDica, Instagram Profile Downloader 등이 포함됐다.
이 중에서 한국 애플리케이션은 누적 다운로드 수 100만 건 이상의 달력 메모장과 K-사전, 부산버스, 1000건 이상의 손전등, 100건 이상의 계산기 애플리케이션이 포함됐다.
맥아피의 류상렬(SangRyol Ryu) 연구원은 이런 악성 애플리케이션들이 사용자가 인지하지 못한 상태에서 네트워크 트래픽을 많이 발생시킨다고 말했다. 따라서 사용자 휴대 전화의 전력 소모를 유발한다. 클릭커 악성코드 배후에 있는 위협 행위자에게도 추가적인 이익을 제공할 수 있다.
맥아피의 연구 결과에 따르면, 이 16개의 애플리케이션에는 사용자가 무언가를 하지 않아도 자동으로 실행되는 것으로 알려진 ‘HiddenAds’라는 변형된 악성코드가 첨부돼 있었다.
실제로 클릭커에 감염된 악성 애플리케이션은 악성 앱인 것을 감추기 위해 설치 직후 바로 악성 행위를 시작하지 않는다. 애플리케이션 설치 시간을 고려하며 설치한 지 한 시간 내에는 악성 행위를 하지 않는다. 이는 무작위로 지연 시간을 집어넣은 후에 악성 행위를 시작한다.
류상렬 연구원은 클릭커 악성코드가 불법적인 광고 수익을 목표로 하기 때문에 모바일 광고의 생태계를 교란시킬 수 있으며, 이 악성코드는 교묘하게 숨겨져 있었다고 말했다.
테크플러스 에디터 박효정
tech-plus@naver.com
[fv0012]
