MalBus, 문서 탈취하는 안드로이드 악성코드
구글 플레이의 버스 앱에서 발견
Google Play 스토어에서 중요한 정보와 문서를 탈취하는 악성코드가 발견돼 삭제됐다. 플레이 스토어에서 발견된 악성코드 치고는 위험도가 높은 편이다. 맥아피에서 발견해서 MalBus라고 불렀다.대구버스, 광주버스, 전주버스, 창원버스의 4개 앱으로, 모두 동일한 개발자의 것이다. 버스 앱은 정류장과 노선, 도착 시간을 알려주는 앱으로, 많이들 이용한다.
이 4개의 앱은 2013~17년에 출시된 것으로, 원래 정상적인 앱이었다. 그런데 2018.8.9일 업데이트 버전에서 동시에 악성코드가 삽입됐다.
가능성은 여러 가지인데, 개발자가 처음에는 순수한 의도로 개발했지만 후에 악의적으로 변심했을 수 있다. 또는 처음부터 악의적인 목적을 갖고 있었지만 적당한 사용자 수가 확보될 때까지 발톱을 숨기고 있었을 수도 있다. 아니면 개발자 계정을 해킹당했을 수도 있다.
플러그인으로 가장
앱 설치 직후에 플러그인 설치를 가장한 업데이트 절차가 시작된다. 가짜 플러그인은 mov라는 확장명으로 위장해 다운로드된다. mov는 동영상 파일 형식으로, 요즘은 찾아보기 힘들다.가짜 플러그인이 설치돼 실행되면 악성 행위가 시작된다. 주된 페이로드라 할 수 있는 트로이 목마를 다운로드하고, 부수적으로 피싱도 한다.
트로이 목마
일반적인 trojan의 특성을 모두 갖고 있다. 파일의 다운로드, 업로드, 삭제와 중요 정보 유출 등이 대표적이다. 특징적인 부분은, 기기의 문서 파일을 인덱싱해서, 북한과 국방 관련 키워드가 있는 문서만을 해커의 서버에 업로드한다는 점이다.암호 복구 요청
가짜 구글 로그인 화면을 띄워 로그인 정보를 탈취한다. 주목할 부분은, 특정 계정에 대해 암호 복구 요청을 보내는 기능도 있다는 점이다.스마트폰이 해킹당했고, 암호 복구 메일이 그 폰으로 온다면, 다른 계정도 털릴 수 있다. 예를 들어 abc123@gmail.com이라는 사용자는 abc123@naver.com이라는 계정도 갖고 있을 확률이 높다. 이 사람이 네이버 계정의 복구 메일을 지메일로 설정했다면, 해커는 네이버에 암호 복구 요청을 보내고 abc123@gmail.com으로 온 복구 메일의 링크로 암호를 임의로 재설정할 수 있다.
업데이트나 추가 설치 주의
이들 악성 앱의 구글 플레이에 업로드된 부분에는 악성코드가 없다. 즉 플레이 스토어에는 정상적인 기능을 하는 부분만 등록해서 보안 검열을 통과한 후, 악성 모듈은 추가 설치 형식으로 다운로드하는 것이다. 근래 플레이에서 발견된 악성 앱은 대부분 이런 방식을 취하고 있다.플레이 스토어를 통한 업데이트가 아닌, 앱 내에서 알림에 의해 다른 소스에서 받는 업데이트는 수락하지 말아야 한다.
맬버스를 비롯해 악성코드 다운로더 혹은 드로퍼들이 업데이트를 할 때 사용자의 허락을 요구하는 지는 확실하지 않다. 묻지도 않고 추가 설치를 한다면 도리가 없다. 그러나 업데이트 알림이 나오는 경우에는 대처할 기회가 있다.
앱을 사용하다 보면, 업데이트를 해야 사용할 수 있다는 메시지가 나오는 경우가 있다. 이때 "예"를 클릭하면 대부분 Google Play 앱으로 이동된다. 이것이 바람직하다. 그런데 앱 자체 서버를 이용해 바로 업데이트되는 경우도 있다. 위험할 수 있다.
따라서 아주 신뢰하는 앱이 아닌 경우에는, 업데이트 알림이 나오면 뒤로 가기 버튼을 눌러 일단 앱을 닫는다. "아니오"를 클릭하는 것보다 앱을 아예 닫는 것이 더 안전하다. 그리고 구글 플레이로 가서 해당 앱을 업데이트한다.
관련 자료
참고 자료
댓글
댓글 쓰기