이전에 액티비티의 이름을 비교해 기기 관리자 권한 해제를 방해했던 악성앱이 발견된 적이 있었다. 최근 이를 이용한 악성 행위의 범위가 점차 확대되고 있는 정황이 포착돼 스마트폰 사용자들의 각별한 주의가 요구된다.
 
인프라웨어 관계자는 “이 악성앱은 기기 관리자 권한 해제 방해뿐만 아니라 백신앱의 특정 액티비티의 이름을 비교해 해당 백신앱의 삭제를 유도하고, 앱 삭제를 방해하는 등의 자기 자신 보호를 위한 행위들이 추가되었다”며 “1월 29일 수집된 해당 악성 앱은 아래와 같은 스미싱 문자 메시지를 통해 유포되고 있었다”고 설명했다.
 
<고객님 물품 송달할수없습니다:주소변경 확인 부탁드립니다: http://me2.do/xxx>
 
특이사항은 투명 액티비티를 사용해 터치 이벤트를 가로챈다는 점이다. 은행 앱 실행 시 출력되는 백신 진단 화면 위에 악성 앱 제작자가 준비해둔 투명 액티비티를 출력한다. 사용자에게 보여지는 화면은 백신 진단 화면이지만 실제 터치이벤트는 악성앱의 투명 액티비티에서 받게 되는 것이다. 이 때 화면 중 어느 곳이라도 터치할 경우, 백신앱의 삭제를 유도하는 대화 상자를 출력한다.
 
사용자가 무의식 중에 확인 버튼을 누르게 되면 의도와는 달리 악성앱 대신 정상 백신앱을 삭제하게 된다. 이를 통해 악성앱은 자기 자신을 보호할 수 있게 되는 것이다.
 
기기 관리자 권한 해제, 애플리케이션 삭제 시 출력되는 액티비티도 마찬가지다. 해당 액티비티 출력 시 홈 화면으로 이동시켜 악성앱 삭제 및 기기 관리자 권한 해제에 대한 접근을 방해한다.
 
이 외에도 출처 불명의 추가 파일을 웹으로부터 다운로드 받으며 다운 받은 파일에 대한 설치를 시도한다. 이 때 추가 설치되는 파일에서 악성 행위를 수행할 가능성이 있다.
 
인프라웨어 관계자는 “만일 해당 악성앱이 설치되었고 기기 관리자 권한을 이미 가지고 있는 경우, 일반적인 방법으로는 삭제가 불가능 하므로 단말기 안전모드 부팅 후 기기 관리자 권한을 해제하여 삭제하는 방법을 권장한다”고 전했다.

이번 악성앱에 대한 인프라웨어 분석 보고서는 데일리시큐 자료실에서 다운로드 가능하다.
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com