유럽의 엔드포인트 보안 기업 이셋(ESET)은 구글 플레이스토어를 통해 안드로이드용 다단계 악성코드가 배포되고 있다며 사용자의 주의를 당부했다.
이셋 제품에서 ‘Android/TrojanDropper.Agent.BKY’로 진단되는 이 악성코드는 합법적인 앱으로 위장하고 있으며, 악의적인 행위를 지연하기 위해 여러 단계의 동작을 거친다. 현재 8개의 악성 앱이 발견됐으며, 현재 스토어에서 모두 삭제된 상태지만 추가로 등록될 가능성이 있다.
이 악성 앱은 다단계 페이로드 구조와 암호화를 사용해 악성코드로 탐지되는 것을 회피하고 있다. 다운로드 설치 후 악성코드로 의심을 받을 만한 권한을 즉시 요청하지 않으며, 심지어 사용자가 일반적으로 예상할 수 있는 행동을 모방해 조기 탐지를 방지한다. 이를 위해 악성 앱은 첫 번째 페이로드를 해독하고 실행한다. 이 첫 번째 페이로드는 플레이 스토어에서 다운로드한 최초 악성 앱의 데이터로 저장된 두 번째 페이로드를 해독하고 실행한다. 이러한 단계는 사용자가 알 수 없도록 백그라운드에서 일어난다.
두 번째 페이로드에는 하드코딩 된 URL을 포함하고 있어 또 다른 악성 앱을 다운로드한 후 약 5분 후에 이를 설치하라는 메시지가 나타난다.
두 번째 페이로드에서 다운로드한 악성 앱은 어도비 플래시 플레이어와 같이 잘 알려진 소프트웨어나 안드로이드 업데이트, 어도비 업데이트 등 정상적인 앱으로 위장돼 있다. 그러나 주 목적은 마지막 페이로드를 설치하고 악성 행위에 필요한 모든 권한을 얻는 것이다.
마지막 페이로드가 설치되고 요청된 권한을 획득하면 이 페이로드를 해독하고 실행한다. 이셋 이 조사한 모든 사례에서 마지막 페이로드는 모바일 뱅킹 트로이 목마였으며, 일단 설치되면 전형적인 모바일 뱅킹용 악성코드로 동작하는데, 사용자에게 가짜 로그인 페이지를 제공하여 로그인 정보나 신용카드 정보를 훔칠 수 있다.
이러한 앱을 다운로드한 경우 설치된 페이로드에 대한 관리자 권한을 비활성화하고, 추가 설치된 페이로드와 플레이 스토어에서 다운로드한 앱을 삭제해야 한다. 여러 단계의 다운로더는 난독화돼 있기 때문에 일반적인 안드로이드 악성코드보다 공식적인 앱 스토어에 등록될 가능성이 높다.
사용자는 공식적인 앱 스토어의 보호에만 전적으로 의존하는 것은 위험하다. 사용자 스스로 앱 평점과 댓글을 확인하고, 앱에 부여된 권한에 주의를 기울여야 하며, 검증된 악성코드 대응 솔루션을 사용하는 것이 좋다.
김남욱 이셋코리아 대표는 “발전된 난독화 기술을 이용한 악성코드는 배포되기 전에 이를 진단하기가 매우 어렵다. 새로운 앱을 다운로드할 때는 세심한 주의가 필요하며, 필요 이상의 권한을 요청하는 앱의 설치는 더욱 조심해야 한다. 앱 배포자 의한 보안은 한계가 있다는 점을 인지하시고, 사용자 스스로 자신의 정보를 지키는 노력이 필요하다”고 말했다.
