ESET(이셋)의 국내 법인 이셋코리아는 안드로이드 맬웨어가 레이더에 노출되지 않도록 하는 매우 은밀하지만 놀랍도록 간단한 기술을 발견했다고 밝혔다.

ESET 연구진은 당시 안드로이드 공식 앱스토어에서 제공되는 DEFENSOR ID 앱을 분석한 결과 이 앱이 안드로이드 OS의 ‘접근성 서비스’를 악용했지만 사용자가 의심할 만한 권한을요구하지 않았으며, 다른 악성 기능 역시 없다는 사실을 알게 되었다.

DEFENSOR ID 분석을 수행한 ESET 맬웨어 연구원 Lukáš Štefanko는 “접근성 서비스기능은 오랫동안 안드로이드 OS의 아킬레스건으로 알려져 있으며 이에 따라 ESET의 보안 솔루션은 악성 행위를 나타내는 다른 지표와 이 취약점을 악용하는 다양한 조합을 탐지할 수 있도록 개선되었다”라고 말했다.

접근성 서비스 위에 추가 기능이나 의심스러운 권한이 표시되지 않은 맬웨어에 대해 현재까지 알려진 모든 보안 메커니즘이 경보를 트리거하지 못했다. 결과적으로 DEFENSOR ID는 Google Play 스토어에 등록되어 몇 개월 동안 남아 있었으며, VirusTotal 프로그램에 참여한 어떠한 보안 업체도 이를 감지하지 못했다.

Štefanko는 “이것은 우리에게 귀중한 교훈이 되었다. 우리는 DEFENSOR ID에 대해 배운 내용을 바탕으로 탐지 기술을 미세하게 조정하여 탐지 영역이 매우 낮은 악성 코드도 탐지할 수 있게 되었다”라고 말했다.

DEFENSOR ID는 극도로 은밀하다는 점 외에도, 피해자에게 심각한 피해를 줄 수 있는데 그것은 뱅킹 트로이목마 맬웨어 범주에 속하며 매우 교묘하다는 것이다. 일단 설치되면 피해자가 한가지 행위만 하더라도 그 악성 기능을 온전히 발휘하게 된다.

Štefanko는 “사용자가 접근성 서비스를 활성화하면 DEFENSOR ID는 다른 악성 행위 중에 공격자가 공격 대상자의 은행 계좌 또는 암호 화폐 지갑을 정리하고 이메일이나 소셜 미디어 계정을 탈취할 수 있는 기반을 마련할 수 있다”고 말했다.

한편 ESET의 공지에 따라 Google은 공식 Android 앱스토어에서 DEFENSOR ID를 제거했다.

Štefanko는 “우리는 방어자가 초저단면 안드로이드 맬웨어에 대처할 수 있도록 돕기 위해 이 맬웨어에 대한 조사 결과를 발표하기로 결정했다. 이러한 맬웨어 제작자들은 Google Play와 사용자 기기 모두에서 강화된 보호 기능에 직면하게 될 것이다”라고 말했다.

자세한 내용은 WeLiveSecurity블로그 게시물 블로그 게시물 Insidious Android malware gives up all malicious features but one to gain stealth를 참고하면 된다.

★정보보안 대표 미디어 데일리시큐!