오픈소스 기반 안드로이드용 스파이웨어, 구글 플레이서 최초 발견

2019-08-23     길민권 기자

오픈소스 기반의 안드로이드용 스파이웨어가 구글 플레이에서 최초로 발견되어 각별한 주의가 요구된다.

‘AhMyth’라는 오픈소스 스파이 도구를 기반으로 한 스파이웨어는 매우 독특한 Balochi(파키스탄 발루치스탄 지역) 음악을 재생하는 인터넷 라디오 앱으로 위장하고 있었다. 이 악성 스파이 기능은 다른 앱에도 쉽게 연동될 수 있다.

ESET(이셋)의 국내 법인 이셋코리아는 “AhMyth는 2017년 말에 공개되었으며 이셋 안드로이드 모바일 보안에서 AhMyth 스파이웨어가 나타나기 전인 2017년 1월부터 AhMyth와 그 변종으로부터 스마트폰을 보호해왔다”며 “이후에도 이를 기반으로 하는 다양한 악성 앱이 등장했으나 Radio Balouch와 같이 안드로이드 공식 앱스토어인 구글 플레이에 등록된 것은 이번이 처음이다”라고 설명했다.

이셋이 이 이를 구글에 리포트한 후 구글 보안팀은 이 악성 Radio Balouch 앱을 스토어에서 제거했으나 공격자들은 또다시 앱을 등록했고 이셋은 이를 다시 구글에 알려 해당 앱은 신속히 제거되었다.

이셋이 Android/Spy.Agent.AOX로 탐지한 Radio Balouch는 웹사이트, 인스타그램 및 유뷰브에서 홍보되었으며 구글플레이에서 삭제된 뒤 다른 앱스토어에서만 이용할 수 있다.

이 앱은 Balochi 지역에 특화된 음악을 위한 모든 기능을 갖춘 인터넷 라디오 앱이지만 백그라운드에서 사용자를 감시하며 기기에 저장된 연락처를 훔치고 파일을 수집할 수 있다. 오픈 소스 AhMyth 스파이 활동 도구에는 기능이 다양한 여러 가지 변형이 있으므로 Radio Balouch 앱 및 다른 AhMyth 기반 악성 코드는 향후 또다른 악성 기능을 탑재하고 등장할 수 있으므로 주의해야 한다. .

이셋 연구원들에 따르면, 구글 플레이 스토어에 악성 라디오 발루치 앱이 반복적으로 나타나는 것은 구글 보안 팀과 안드로이드 사용자 모두에게 경종을 울리는 일이라고 전했다.

이셋 연구원은 “구글이 보호 기능을 향상시키지 않는 한 새로운 라디오 발루치 또는 AhMyth의 다른 변종이 다시 구글 플레이에 등장할 수 있다. 앱스토어에 앱을 등록할 때 공식 출처를 고수해야 하는 핵심 보안요구 사항은 여전히 유효하지만 그것만으로는 보안을 보장할 수 없다”며 “우리는 사용자가 기기에 설치하려는 모든 앱을 면밀히 조사하고 평판 좋은 모바일 보안 솔루션을 사용할 것을 강력히 권고한다”고 강조했다.

★정보보안 대표 미디어 데일리시큐!★