마이크로소프트 스토어에서 구글 포토로 위장한 악성코드 발견
Microsoft Store에서 가짜 앱이 발견됐다
'Album by Google Photos'라는 앱으로 Google Photo와 관련된 공식 앱처럼 위장했다.게시자 정보에서 구글을 사칭한 것은 물론, 개인 정보 취급 방침은 실제 구글의 것으로 링크되어 있다.
Ad Clicker라는 애드웨어
그러나 사실은 구글과 전혀 관련이 없는 애드웨어이다. 이 앱을 실행하면 먼저 구글 포토에 로그인하는 페이지가 열린다. BleepingComputer에 따르면, 로그인 페이지는 진짜 구글의 것으로 악성 행위는 발견되지 않았다. 그러나 가짜 앱에서 제공하는 것이므로 로그인하지 말라고 덧붙였다.참고한 기사에서 명확하게 언급하고 있진 않지만, 로그인하면 실제 구글 포토의 내용을 보여줄 것으로 생각된다. 요즘은 피해자의 의심을 피하기 위해, 정상적인 기능도 수행하는 악성 앱이 많이 나오고 있다.
애드 클리커는 해커의 C2 서버에서 광고 목록과 표시 빈도 등을 설정한 configuration file을 다운로드한다. 그리고 이에 따라 백그라운드에서 광고를 끊임없이 내보내서 수익을 챙긴다. 광고는 사용자에게는 보이지 않는다. 소리가 포함된 광고라면 소리는 들린다. 따라서 정체불명의 소리가 들린다면 애드웨어 감염을 의심해 볼 수 있다.
다행히 권한은 '인터넷 연결에 액세스' 하나 밖에 없어서, 광고 표시 외의 다른 악성 행위는 어려울 것으로 생각된다. 가짜 사이트에서 개인정보를 입력받는 피싱(phishing)도 가능하겠다.
마이크로소프트 스토어의 한국어 버전에는 리뷰가 등록된 게 없다. 그러나 영문판에는 가짜 앱이라는 리뷰가 여럿 올라와 있다. 어떻게 검수를 통과했는지는 물론, 아직도 삭제되지 않고 있는지 우려스럽다.
참고 자료
댓글
댓글 쓰기