2024-03-29 03:25 (금)
구글 플레이 통해 배포되는 모바일 뱅킹용 악성코드 발견…주의
상태바
구글 플레이 통해 배포되는 모바일 뱅킹용 악성코드 발견…주의
  • 길민권 기자
  • 승인 2017.11.22 16:54
이 기사를 공유합니다

악성앱 설치되면, 가짜 로그인 페이지 보여주며 로그인 정보와 신용카드 정보 훔쳐

aaaa-9.jpg
구글 플레이 스토어를 통해 안드로이드용 다단계 악성코드가 유포되고 있어 이용자들의 악성코드 감염 주의가 요구된다.

이셋(ESET)코리아(대표 김남욱) 측은 “악의적인 행위를 지연하기 위해 여러 단계의 동작을 거치는 안드로이드 악성코드 군이 발견됐다. 지금까지 8개의 악성 앱이 구글 플레이 스토어에서 발견되었으며 현재 스토어에서 모두 삭제된 상태지만 추가로 등록될 가능성은 여전히 존재한다”며 “이 악성 앱들은 모두 다단계 페이로드 구조와 암호화를 사용함으로써 악성코드로 탐지되는 것을 회피하고 있다”고 경고했다.

이셋코리아에서 분석한 내용을 살펴보면, 해당 악성앱을 다운로드후 설치하더라도 악성코드로 의심을 받을 만한 권한을 즉시 요청하지 않으며 심지어 사용자가 일반적으로 예상할 수 있는 행동을 모방함으로써 조기 탐지를 방지한다.

이를 위해 악성 앱은 첫 번째 페이로드를 해독하고 실행하는데, 이 첫 번째 페이로드는 구글 플레이 스토어에서 다운로드한 최초 악성 앱의 데이터로 저장된 두 번째 페이로드를 해독하고 실행하며 이러한 단계는 사용자가 알 수 없도록 백그라운드에서 일어난다.

두 번째 페이로드에는 하드코딩 된 URL을 포함하고 있어 또 다른 악성 앱(세 번째 페이로드)을 다운로드한 후 약 5 분 이후에 이를 설치하라는 메시지가 나타난다. 두 번째 페이로드에서 다운로드한 악성 앱은 어도비 플래시 플레이어(Adobe Flash Player)와 같이 잘 알려진 소프트웨어나 안드로이드 업데이트, 어도비 업데이트 등 정상적인 앱으로 위장되어 있지만 주 목적은 마지막 페이로드를 설치하고 악성 행위에 필요한 모든 권한을 얻는 것이다.

마지막 페이로드가 설치되고 요청된 권한을 획득하면 이 페이로드를 해독하고 실행한다.

▲ 이셋코리아 제공. 안드로이드용 악성앱.
▲ 이셋코리아 제공. 안드로이드용 악성앱.
ESET 이조사한 모든 사례에서 마지막 페이로드는 모바일 뱅킹 트로이목마였다. 일단 설치되면 전형적인 모바일 뱅킹용 악성코드로 동작하며 사용자에게 가짜 로그인 페이지를 제공해 로그인 정보나 신용카드 정보를 훔칠 수 있다.

이셋코리아 김남욱 대표는 “이러한 앱을 다운로드한 경우 설치된 페이로드에 대한 관리자 권한을 비활성화하고, 추가 설치된 페이로드와 구글 플레이 스토어에서 다운로드한 앱을 삭제해야 한다. 안타깝게도 여러 단계의 다운로더는 난독화되어 있기 때문에 일반적인 안드로이드 악성코드보다 공식적인 앱 스토어에 등록될 가능성이 높다”며 “따라서 사용자는 공식적인 앱 스토어의 보호에만 전적으로 의존하는 것은 위험하다. 사용자 스스로 앱 평점과 댓글을 확인하고 앱에 부여된 권한에 주의를 기울여야 하며 검증된 악성코드 대응 솔루션을 사용하는 것을 권고한다”고 강조했다.

더불어 "발전된 난독화 기술을 이용한 악성코드는 배포되기 전에 이를 진단하기가 매우 어렵다. 새로운 앱을 다운로드할 때는 세심한 주의가 필요하며 필요 이상의 권한을 요청하는 앱의 설치는 더욱 조심해야 한다”며 “사용자 스스로 자신의 정보를 지키는 노력이 필요하다"고 주의를 당부했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★