새 악성코드 그래보스(Grabos)

플레이스토어 보안 뚫려

최근 150여개의 앱이 그래보스(Grabos)라는 신종 악성코드에 감염된 사실이 밝혀져, 구글 플레이스토어에서 삭제되는 사건이 발생했습니다. "Aristotle music audio player 2017"이라는 앱에서 처음 발견됐고, 추가 조사를 통하여 143개의 앱이 감염됐음이 밝혀졌습니다. 그래보스는 주로 파일탐색기 앱과 뮤직플레이어 앱에서 발견됐는데, 음악을 무료로 다운로드할 수 있게 해서 많은 인기를 끌었고 사용자 평점도 평균 4.4로 높았습니다.

구글 플레이스토어의 악성 앱 차단 노력이 많이 강화됐음에도 불구하고, 직접 실행해 보지 않고는 분석을 어렵게 하는 상용 obfuscator tool (난독화 프로그램) 을 이용해서, 구글의 보안조치를 통과했습니다.

샌드박스 회피 기능

그래보스는 지능적인 면이 있는데, 사용자가 감염앱을 실사용하지 않는 동안에, 또 백신 앱의 sand box(가상의 시험 공간) 나 동적 분석(확립된 개념은 아니고 백신 회사마다 다른 표현을 씁니다. 대체로 이전의 signature 기반의 분석을 정적 분석이라 한다면, 행위 기반의 분석, 클라우드 데이터베이스를 실시간으로 참조하는 분석 등 새로운 분석 기법에 active, dynamic 같은 표현을 씁니다) 하에 있지 않은 경우에만 악성 활동을 수행합니다.

그래보스는 안드로이드 버전, 기기 모델, 위치, 설정 상태, 설치된 앱 등의 기기 정보를 수집하여 C&C 서버로 보내고, 이에 맞춤형으로 추가 앱을 설치하라는 가짜 알림을 내보냅니다. 이렇게 PUP(Potentially Unwanted Program, 잠재적으로 원치 않는 프로그램)를 설치하도록 유인한 후 광고비를 챙깁니다.

이번 발견에서는 광고비를 챙기는 adware 정도로 그쳤지만, 지능적인 작동 방식으로 봤을 때 만약 신종 해킹툴이나 랜섬웨어를 다운로드하도록 유도했다면 큰 파장을 일으켰을 수도 있다고 봅니다. 또 다음과 같은 시사점을 줍니다.

다운로드 수와 평점 과신 말아야

앱을 설치하기 전에 사용자 리뷰를 꼼꼼히 읽어보라는 게 일반적인 권장사항입니다. 그래보스를 처음 발견한 Mcafee 측도 이번 발견이 한 사용자의 리뷰에서 비롯됐음을 들어 같은 말을 하고 있습니다. 그러나 제가 보기엔 이것은 절반만 맞는 말 같습니다. 이번 일은 구글의 실패인 동시에 사용자 집단의 실패이기도 합니다. 무료 음악 다운이라는, 한번쯤 의심해 볼 만한 이유가 충분한 앱을 그렇게 많이들 설치하고 높은 평점을 줬으니 말입니다. 다운 수와 평점을 참고는 하되, 과신하지는 말아야겠습니다.

앱은 공식 스토어에서만

잠재적인 보안 위협을 피하기 위해서는 꼭 필요한 앱만 설치하고, 더 이상 자주 쓰지 않는 앱은 삭제하는 게 좋습니다. 무엇보다 앱은 공식적인 스토어에서만 설치하는 게 중요합니다. 이번처럼 스토어도 뚫리는 경우도 있지만, 출처불명의 앱 설치에 따른 위험성에 비할 바가 못됩니다.

카페 등 게시판을 돌아다니다보면 앱을 apk형태로 올려 놓고, 출처불명 앱 차단을 설정해제하라고 안내하는 경우를 봅니다. P2P 사이트의 경우 게임 프로그램 크랙 버전을 올려 놓고, 백신에서 악성코드로 진단할 수 있으니 실시간 감시를 잠시 꺼 놓으라고 하는 것도 많이 볼 수 있습니다. 이런 건 비유컨대, 도둑이 들어갈테니 문을 열어 놓으라고 하는 것과 같습니다. 정상 앱을 살짝 손봐서 악성코드를 삽입하는 것은 아주 쉬운 일입니다.


참고 자료

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다