6월 28일 경부터 30일 새벽까지 불특정 주기로 나타나서 악성앱 설치를 유도하고 있으며 악성앱을 설치하게 되면 주소록에 있는 지인들에게 all msgs라는 문구의 문자메시지를 이용자 몰래 무작위로 발송한다. 시간에 비례해 문자메시지 데이터 소모가 급격히 증가해 이용자에게는 원치 않는 과금 요금이 발생할 수 있고 이동통신사망에도 과부하가 발생할 수 있는 상황이라 주의해야 한다.
 
잉카인터넷 대응팀 관계자는 “이용자 단말기에 지속적으로 악성앱 설치화면이 나오면서 이용자에게는 큰 불편을 끼치며, 설치할 경우 주소록의 연락처로 시간차 문자공격을 수행한다. 이 때문에 감염자와 함께 지인들에게 동시다발적인 모바일 공격과 피해가 함께 유발된다”며 “이는 금전적 이득목적의 스미싱 범죄와는 차원이 다른 새로운 모바일 공격 기법으로 안드로이드 악성앱을 이용한 Mass SMS Attack이라 정의할 수 있다”고 주의를 당부했다.

 
대응팀은 “휴일 비상 긴급대응 체계를 가동하고 있으며, 기존의 스미싱기법처럼 악성 URL을 배포하는 수법이 아닌 것을 파악하고 유포지와 악성앱(Trojan/Android.FakeKaKao) 샘플을 최초 공식 확인했다”며 “긴급분석을 진행 중에 있고 유관기관에 신속히 정보를 공유한 상태이다. 더불어 현재 모바일 보안제품 중 nProtect Mobile for Android 제품만이 현재 4종의 악성앱 변종에 대한 치료가 가능한 상태”라고 밝혔다.  
 
또한 현재까지 확인된 바에 의하면, 공격자는 이미 전체 이용자가 약 3만명~15만명 정도의 이용자가 존재하는 다양한 앱의 업데이트를 활용했고, 구글플레이 마켓을 통해 공식으로 배포한 상태라고 설명하며 악성앱이 국내 불특정 다수의 이용자들에게 전파되기 시작한 시점은 6월 28일로 확인이 완료된 상태라고 전했다.

 
악성앱은 구글 플레이 마켓에 등록되어 있는 특정 정상앱이 무단변조되어 다량 전파된 것으로 보이며, 기존에 이용자가 최소 1만명 이상 확보되어 있는 3가지 앱이 동시다발적으로 유포에 동원되었다. 개발자는 총 4개의 앱을 구글플레이에 등록해 두었지만, 이용자가 적은 1개의 앱은 악성기능이 존재하지 않고 이용자가 많은 3가지 앱을 통해서만 악성기능이 전파된 것으로 확인됐다.
 
구글플레이에서 해당 앱을 사용하던 전체 이용자는 구글집계 기준으로 최소 3만명에서 최대 15만명 정도로 예상되며, 이들이 6월 28일에 업데이트를 했다면 악성파일에 노출되도록 구성되어 있다. 악성앱 기능이 포함된 채 전파된 앱을 실행하면 아래와 같은 화면이 보여진다.
 
악성앱은 기존에 설치된 이용자들에게는 업데이트 기능을 통해서 배포되고, 새로 설치한 이용자의 경우엔 실행 후 약 30분 정도가 지나면 본격적으로 좀비 스마트폰 행동을 개시한다. 그리고 카카오톡 플러그인 설치화면을 지속적으로 보여주게 된다.
 
잉카인터넷 측은 악성앱이 만들어진 과정을 타임라인을 통해 프로파일링 하면 다음과 같다며 설명을 이었다.
 
6월 28일 오후 12시 55분 카카오톡 보안 플러그인으로 위장한 악성앱이 처음으로 제작된다. 같은 날 약 2시간 30분정도 지난 후 오후 3시 36분 경 구글 플레이에 등록될 첫번째 악성앱 제작 -> 오후 4시 49분 두번째 악성앱 제작 -> 오후 4시 58분 세번째 악성앱이 제작되었다. 이 앱들은 모두 구글 플레이에 6월 28일 오후에 등록된다.
 
카카오톡 보안 플러그인으로 위장한 악성앱은 가장 빨리 제작되었지만, 다른 전파 매개체 및 숙주앱들에 의해서 설치되고 최종적으로 실행되게 된다.
 
대응팀 관계자는 “구글 플레이의 개발자가 직접 악성앱을 등록한 것이 아니라면, 개발자의 컴퓨터나 서버가 해킹을 받아 외부의 공격자에 의해서 강제로 업데이트 되었을 가능성도 배제하기어렵다”며 “만약 그렇다면 이는 윈도우 기반의 컴퓨터에서 발생했던 과거 2009년 7.7 DDoS 공격때와 가장 최근의 6.25 사이버전(Cyber War) 사례와 흡사한 방식일 수 있다”고 언급했다.
 
한편 감염되는 대상은 SKT와 KT, LGT 등 이통사와는 관계없이 모두 감염될 수 있고, 안드로이드용 악성앱이기 때문에 안드로이드 기반의 단말기에만 감염된다. 다만, 감염된 안드로이드 이용자의 주소록을 통해서 아이폰 이용자들에게도 문자메시지는 발송될 수 있다고 한다.
 
이에 카카오팀에서도 문자메시지와 SNS 등을 통해서 해당 정보를 긴급하게 공지하고 있는 상태다. 카카오팀에는 스미싱형태로 전파된 것으로 의심해 이상한 문자로의 접근을 자제하도록 당부하고 있다.

 
◇악성앱 정보 및 수동조치법
잉카인터넷 대응팀은 6월 30일 새벽 4시 22분, 악성앱 샘플이 확보되어 긴급확인 작업 중에 있으며, 악성앱은 6월 28일 오후 12시 55분에 제작된 것으로 확인됐고, "armeabi" 하위폴더에는 "libEglsv1.so" ELF 기반의 리눅스용 악성파일이 포함되어 있다. 해당 악성앱은 유관기관 및 보안업체에 신속하게 공유되어 합동 대응이 진행 중에 있다.
 
악성앱은 "com.kakao.talk.plus_1.0.apk" 라는 파일명을 보유하고 있으며, 아직 전파경로는 파악되지 않은 상태이다. 우선 악성앱은 카카오톡 플러스 1.0 앱처럼 위장하고 있으며, 아이콘도 사칭하고 있다.
 
악성앱 설치가 완료되면 ‘KakaoTalk의 보안’이라는 앱으로 마치 카카오톡 앱처럼 보이도록 아이콘을 정교하게 사칭하고 있다.
 
카카오톡 보안앱처럼 위장한 해당 앱을 실행하면 "KakaoTalk의 보안 플러그인" 이라는 타이틀과 함께 내용에는 "이 플로그인은 안전하므로 삭제하지 마세요"라고 표기까지했다. 이용자로 하여금 삭제하지 않도록 유도하고 있는 것이다.
 
안드로이드 악성앱이 설치되면 감염된 단말기의 주소록에 접근하고 연락처에 있는 가나다순의 전화번호로 "all msgs" 문구가 포함된 문자메시지를 약 30분 간격으로 무작위로 발송하게 된다. 참고로 아이폰의 경우는 악성앱에 감염되지는 않고, 문자메시지는 다수 수신할 수 있다.
 
이 과정에서 안드로이드 악성앱 감염자의 문자메시지와 3G/LTE 데이터가 초과할 수 있고, 그로인해 발송한 데이터 만큼의 과금이 부과되는 피해를 입을 수 있다. 악성앱 설치화면을 취소할 경우라도 지속적으로 설치하라는 화면 때문에 정신적 피해를 입을 수 있고, 감염된 사용자의 지인들은 지속적으로 악성 문자에 시달리게 된다.
 
더불어 감염자가 증가할 경우 해당 이동통신사 망에도 예기치 못한 트래픽이 증가할 수 있어 각별한 주의가 필요하다.
 
대응팀 관계자는 “우선 문자메시지가 발송되는 것을 차단하기 위해서는 안드로이드 단말기의 전원을 끄거나 SIM카드 제거 등의 조치가 가능하고 또는 환경설정에서 비행모드 등으로 설정하는 것도 좋다. 그런 후에 악성앱을 수동으로 삭제할 수 있다. 물론 설치된 위치에서 단말기에 조건에 따라 바로 삭제기능을 통해서도 쉽게 제거가 가능하다”고 조치법을 설명했다.
 
또 “환경설정 -> 애플리케이션 -> 전체 -> KakaoTalk의 보안 플러그인 순으로 들어가 KakaoTalk의 보안 플러그인을 선택하면 강제중지 -> 삭제를 통해서 악성앱 제거가 가능하다”며 “다만 이 악성앱은 숙주파일을 제거해야만 완벽한 처리가 가능하기 때문에 nProtect Mobile for Android 제품을 설치하고 최신버전으로 업데이트하면 완벽하게 치료가 가능한 상태”라고 강조했다.
 
더불어 “카카오톡 플러그인으로 위장한 악성앱만 삭제한다고 하더라도 지속적으로 설치화면이 발생하게 된다. 숨겨져 있는 숙주 악성파일을 제거해야만 깨끗하게 제거가 가능하다”며 “nProtect Mobile for Android 제품을 설치하고 업데이트 후에 전체검사를 수행하면 완전삭제 할 수 있다”고 조언했다.
◇nProtect Mobile for Android" 무료 다운로드 URL(악성앱 탐지 치료 기능제공)
-play.google.com/store/apps/details?id=com.inca.nprotect
 
데일리시큐 길민권 기자 mkgil@dailysecu.com