Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안 / 안드로이드

“구글 계정 100만 개 이상 유출” 안드로이드 악성코드 ‘굴리건’ 주의보

Michael Kan | IDG News Service 2016.12.01
안드로이드 기기의 루트 권한과 구글 계정 정보를 탈취하는 악성코드가 기승을 부리고 있다. 이미 100만 개 이상의 구글 계정이 유출됐으며, 계속 영향력이 커지고 있다.

이 사실을 전한 보안 업체 체크포인트(Checkpoint)에 따르면, 굴리건(Gooligan)이라는 이 악성코드는 안드로이드 사용자의 구글 계정을 탈취해서 특정 광고 네트워크에 광고되고 있는 앱을 다운로드하거나 앱의 리뷰 점수를 높게 주기 위해 활용된다. 굴리건은 특히 아시아 지역에서 여전히 많이 사용되고 있는 안드로이드 4.1~5.1 버전의 기기를 대상으로 한다.

체크포인트는 “역대 최대의 구글 계정 유출 사고라고 생각한다”고 말했다.

굴리건은 정상적인 안드로이드 앱으로 위장한다. 체크포인트가 발견한 굴리건 포함 앱은 총 86건인데, 그 중 상당수가 서드파티 앱 스토어에서 제공되고 있다. 굴리건이 기기에 설치되면, 구형 안드로이드 버전의 잘 알려진 취약점을 익스플로잇해서 루트 권한을 탈취한다.

체크포인트는 “해당 취약점에 대한 보안 패치가 일부 안드로이드 버전에서 이용할 수 없거나, 사용자가 패치를 설치하지 않아서 여전히 이 익스플로잇은 여전히 전염성이 있다”고 설명했다.

체크포인트에 따르면, 현재 100만 개 이상의 구글 계정이 유출됐으며, 그 중 19%가 미국, 9%가 유럽, 57%가 아시아 지역 사용자의 계정이다.



루트 권한을 탈취한 굴리건은 사용자의 구글 인증 토큰을 탈취해서 지메일과 구글 플레이 및 기타 관련 서비스에 접근할 수 있게 된다. 사용자의 구글 계정에 접근할 수 있게 되면, 이 악성코드는 이제 수익화를 시도한다. 광고 네트워크에서 홍보되는 앱을 설치하거나 구글 플레이에서 특정 앱에 대한 긍정적인 리뷰를 남기는 것 등이다.

체크포인트는 “공격자들은 굴리건 앱이 성공적으로 설치되었을 때 광고 네트워크로부터 돈을 받는다”고 설명했다.

지난해 악성 앱인 ‘스냅피(SnapPea)’가 등장했을 때, 굴리건 앱의 초기 버전이 확인된 바 있으며, 여름에 업그레이드된 프로세스로 다시 등장했다.

체크포인트는 사용자들이 구글 계정이 굴리건에 감염됐는지를 확인할 수 있는 웹사이트를 열었다. 

한편, 보안 전문가들은 사용자들이 서드파티 앱 스토어에서 앱을 다운로드 받지 말 것을 권고한다. 이 앱 스토어들은 등록된 앱들의 안전을 보장해주지 않기 떄문이다.

굴리건을 만든 공격자들 역시 앱을 다운로드할 수 있는 링크가 포함된 MS 메시지를 보내 악성코드를 확산시키고 있다.

구글은 아직 굴리건에 대한 대책을 발표하지 않았지만, 체크포인트는 구글이 이 문제를 조사중이며 악성코드에 탈취된 인증 토큰을 파기하고 있다고 전했다. editor@itworld.co.kr
 Tags 악성코드 안드로이드 굴리건
Sponsored

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.