스마트폰 랜섬크라이? 3600만대의 안드로이드 멀웨어감염 가능성
OSEN 이인환 기자
발행 2017.05.30 09: 57

대규모 사이버 공격 가능성이 PC에 이어 스마트폰에서 대두됐다. 구글 플레이 앱스토어에서 멀웨어를 가진 앱이 장기간 제공된 것으로 알려져 충격을 주고 있다.
29일(현지시각) 해외 IT 전문 매체 트러스트리뷰는 보안 조사기관인 체크포인트(Checkpoint)의 지난 25일 발표를 인용해 “지난 주 악의적인 광고 클릭 소프트웨어를 통해 퍼져 나가는 안드로이드 멀웨어를 확인했다”고 전했다. 이번에 발견된 멀웨어는 공식 구글 플레이 스토어에서 제공되는 일부 앱에 포함됐으며, 체크포인트는 최소 850만 명에서 최대 3600만 명의 사용자가 영향을 받을 수 있다고 밝혔다.
이번에 발견된 멀웨어는 공식 안드로이드 앱 스토어를 공격한 악성코드 중 가장 큰 영향력을 가진 것으로 보인다. 아직 실제 감염된 사용자 수는 확인되지 않았지만, 체크포인트는 구글 플레이 스토어에서 몇 년 동안 제공된 일부 앱에 악성 코드가 포함되었다고 경고했다.

체크포인트는 “이번 멀웨어는 한국 회사가 개발한 41개의 응용 프로그램에서 발견됐다. 일명 ‘주디(Judy)’는 광고에 대한 자동 클릭 애드웨어로 해커에게 수익을 안겨주고, 가짜로 피해자 스마트폰에 거점을 만들어 앱스토어와 사용자의 연결에 개입한다”고 설명했다.
만약 피해자가 앱을 다운로드한다면 자동으로 C&C 서버와 연결해 멀웨의 핵심인 페이로드(Payload)를 호출한다. 페이로드란 실제 공격을 유발하는 기능으로 멀웨어의 핵심이다. 모든 멀웨어의 포장은 페이로드를 피해자 몰래 실행하게 하고, 보안 소프트웨어의 점검망을 피해가게 하고 싶은 것이다.
구글은 체크포인트가 멀웨어 공격 가능성을 통지한 이후 플레이 스토어에서 ‘주디’ 캐릭터를 이용한 여러 가지 요리 및 패션 게임을 삭제했다고 알려졌다. 체크포인트는 “멀웨어가 가장 오래 숨겨진 앱은 2016년 4월에 마지막으로 업데이트됐다. 플레이스토어에서 오랫동안 숨겨진 악성 코드가 발견되지 않은 것이다”고 강조했다.
다른 나라에서도 악성 코드가 포함된 앱을 발표했지만, 한국의 경우는 감염된 앱의 대부분이 이니스튜디오(ENISTUDIO)가 만든 것으로 알려졌다. 멀웨어가 숨겨진 ‘주디’ 관련 앱은 1800만 건 이상의 다운로드를 기록했다.
감염된 앱이 어떻게 구글 플레이 스토어 심사 과정을 통과했는지는 알려지지 않았다. 체크포인트는 “해커들은 앱의 진정한 의도를 숨기거나 사용자를 조작하여 긍정적인 평점을 남길 수 있다. 어떤 경우에도 알아차리지 못할 수가 있다. 스마트폰 사용자는 공식 앱스토어에만 의존해서는 안된다. 멀웨어의 공격을 막기 위해서는 스스로가 안정적인 보안 환경을 만들어야 한다”고 경고했다. /mcadoo@osen.co.kr
[사진]트러스트 리뷰 캡쳐.

Copyright ⓒ OSEN. All rights reserved. 무단 전재 및 재배포 금지