check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

보안툴로 위장한 악성앱 주의…사용자 위치 추적 및 불법 광고 게재

길민권 기자 mkgil@dailysecu.com 2018년 01월 08일 월요일

▲ 출처. 트렌드마이크로
▲ 출처. 트렌드마이크로. 악성앱 이미지.
지난달 초, 구글 플레이에서 사용자가 의도하지 않은 작업을 실행하는 36개의 악성앱이 발견되어 안드로이드 이용자들의 각별한 주의가 요구된다.

이 앱들은 Security Defender, Security Keeper, Smart Security, Advanced Boost 등 스캐닝, 정크 클리닝, 배터리 절약, CPU 쿨링, 앱 잠금, 메시지 보안, 와이파이 보안 등 여러 기능이 포함된 휴대폰 관리 앱으로 위장해 유포되었다.

앱들은 실제로 이러한 기능을 수행하는 동시에 사용자 정보, 사용자 위치 정보 등을 비밀리에 수집해 다량의 광고도 띄우고 있었다.

공격을 분석해 보면, 악성앱 설치 후 기기를 실행하면 처음 목록과 바탕 화면에도 해당 앱이 보이지 않는다. 앱이 숨겨져 있기 때문이다. 사용자는 앱에서 전송하는 알림만 볼 수 있다. 이 알림들은 주로 보안경고 혹은 팝업창이 주를 이룬다.

앱이 실행되면 사용자는 앱에서 띄우는 팝업창으로 불편함을 겪게 된다. 해당 악성앱을 분석해본 결과, 앱에서 띄우는 경고 팝업들은 대부분 거짓으로 나타났다.

예를 들어, 사용자가 다른 앱을 설치하면 즉시 의심스러운 앱이라고 경고하는 식이다. 혹은 “10GB의 파일이 낭비되고 있다”며 일련의 작업을 수행해야 하는 것처럼 경고 팝업창을 띄우지만, 이러한 메세지는 사실이 아니다.

이 악성앱 개발자는 사용자가 해당 앱을 신뢰하도록 간단한 애니메이션들을 구현해 놓았으며, 사용자들은 해당 앱이 정상동작 한다고 생각하며 삭제하지 않게 된다.

하지만 앱이 이러한 알림을 전송할 때 공격자에게 특정 위치 정보를 포함한 피해자의 개인 정보를 수집해 원격 서버로 전송할 수 있다.

해당 앱을 실행하면 사용자에게 알림 메시지를 퍼붓는 동시에 다수의 광고창이 뜨는데, 이렇게 광고를 띄우는 데에는 여러 방법이 사용된다.

예를 들어 잠금 화면을 해제하기 위한 알림을 보낸 후에 광고를 내보내거나 사용자가 충전기 연결 안내를 받은 경우 광고를 내보내기도 한다. 사용자가 앱을 통해 작업을 수행할 때마다 이러한 공격에 노출됩니다.

사용자는 앱 설치 시 개인정보 수집에 동의하라는 요청을 받는다. 그러나 해당 앱 기능과 관련 없는 개인 정보를 수집 및 전달하는 것은 분명한 개인정보 침해다.

해당 앱은 개인 정보, 설치된 앱 정보, 첨부파일, 사용자 동작 정보, 활성화된 이벤트 정보 등을 원격 서버에 업로드한다. 또한 안드로이드 ID, Mac 주소, IMSI(International Mobile Subscriber Identity), OS 정보, 기기 브랜드 및 모델명, 기기가 지원하는 언어, 위치 정보, 구글플레이와 페이스북과 같이 설치된 앱에 저장된 정보 등도 수집한다. 또한 사용 통계, 접근성, 읽기 알림창 등의 정보도 포함된다. [정보출처. 이스트시큐리티. 트렌드마이크로]

★정보보안 대표 미디어 데일리시큐!★

<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록