매장이 아닌 곳에서 롯데리아의 음식을 주문할 때 사용되는 홈서비스 앱을 위장한 뱅킹 악성 앱이 발견돼 각별한 주의가 요구된다.
 
이번 악성 앱을 발견하고 상세 리포트를 발표한 NSHC(대표 허영일) Red Alert팀은 “해당 악성 앱은 정상 앱이 사용하는 아이콘과 유사한 이미지를 이용해서 사용자의 설치를 유도하는데, 일단 설치되면 백그라운드에서 주기적으로 자신의 서비스를 시작시키고 설치된 기기에 타깃 뱅킹 앱이 설치되어 있는지 검사한다”며 “만약 있다면 정상 뱅킹 앱을 삭제하고 악성 앱 제작자가 준비해 놓은 CnC 서버에서 위변조한 뱅킹 앱을 다운로드 받아 설치하기 때문에 매우 위험하다”고 경고했다.

 
상세 리포트에 따르면, 소스코드에 기기 정보를 탈취해서 전송하는 부분과 미리 준비해 놓은 위변조 뱅킹 앱을 다운로드 받는 부분 등에서 악성 앱 제작자의 CnC 서버 주소가 직접 노출되고 있다.
 
특히 악성 앱 파일을 살펴보면, 필요 이상의 권한 접근을 요청하고 있다. 특히 앱의 설치와 제거에 대한 권한은 위변조된 뱅킹 앱을 설치하기 위해 필요한 것일 뿐 정상 앱이라면 필요없는 권한이라고 설명한다.
 
또 악성 앱은 매장이 아닌 곳에서 롯데리아 음식을 주문할 때 사용되는 정상 롯데리아 홈서비스 앱과 매우 유사한 이미지를 이용했을 뿐만 아니라 동일한 앱 이름으로 사용자의 설치를 유도하고 있어 심각한 상태다. 따라서 사용자는 악성 앱인 것을 인지하지 못하고 피해를 입을 수 있는 것이다.
 
보고서는 또 “현재 위변조된 뱅킹 앱을 다운로드 받아서 설치하는 과정이 진행되지 않고 있지만 악성 앱 제작자가 국내 IP로 CnC 서버에 접속하는 경우를 차단한 것으로 보인다”며 “해외 서버를 이용해 우회 접속할 경우에는 접속이 가능한 것을 확인할 수 있다. 따라서 언제든지 악성 앱 제작자가 서버를 열어 기기 정보를 탈취하고 위변조된 뱅킹 앱을 설치할 수 있는 잠재적 위험성이 높다”고 밝히고 있다.
 
분석 결과, 악성 앱 삭제에 대한 보호기능이 특별히 없기 때문에 강제 종료 후에 제거가 가능하기 때문에 만약 이러한 악성 앱이 설치됐는지 확인후 신속히 앱을 삭제하는 것이 안전하다.
 
이와 관련 상세 분석 리포트는 아래 NSHC Red Alert팀 페이스북 페이지 혹은 데일리시큐 자료실에서 다운로드 가능하다.
 
-Red Alert팀: www.facebook.com/nshc.redalert?ref=profile
 
데일리시큐 길민권 기자 mkgil@dailysecu.com