보안 / 스마트폰 / 안드로이드 / 프라이버시

구글 플레이에서 정식 다운로드된 '포켓몬 고 가이드' 앱, 안드로이드 기기 해킹

Lucian Constantin | CSO 2016.09.20
구글 플레이에서 정식 다운로드된 포켓몬 고 가이드 앱이 악성코드를 내포하고 있었다. 하지만 이것이 처음은 아니다. 카스퍼스키 보안 연구원들은 구글 플레이에서 50만 이상 다운로드된 악의적인 애플리케이션을 발견했는데, 이는 안드로이드 기기들 전체 제어권한을 획득하게끔 디자인됐다.

이 연구원들은 "이 애플리케이션은 인기 높은 포켓몬 고(Pokémon Go) 게임을 위한 가이드로 위장했으며, 구글 플레이의 악성코드 탐지 메커니즘을 우회하기 위해 여러 단계의 난독화 기술을 사용했다"고 한 블로그에 게재했다.

이 앱이 내재한 악의적인 모듈은 즉시 실행되는 것이 아니라 실제 기기에서 실행되고 있음을 파악하기 위해 다른 애플리케이션이 설치 또는 제거될 때까지 기다린다. 이는 다운로드받은 앱이 악의적인지 여부를 확인하기 위해 에뮬레이트 환경에서 한번 실행하게 되는데, 이를 회피하기 위한 것이다.

실제 기기에서 실행되는 것을 파악한 후 이 앱은 악의적인 모듈이 실행되기까지 2시간을 기다린 후, 원격 서버와 연결하고 해당 기기에 대한 정보를 전송한다.

이 서버는 이 악의적인 모듈에게 2012년에서 2015년 사이에 안드로이드에서 발견된 로컬 권한 상승을 노리는 익스플로잇을 다운로드하라고 지시할 수 있다. 루트 익스플로잇(root exploits)으로 알려진 이 취약점을 통해 안드로이드에서 가장 높은 권한 계정으로 접속할 수 있다. 이는 한 마디로 해당 기기를 완전히 해킹했다는 의미다.

구글은 이 모든 취약점에 대해 패치를 발표했다. 그러나 안드로이드 생태계의 파편성 때문에 많은 기기들이 모든 업데이트를 받았다고 볼 순 없다. 그렇다고 50만 이상의 다운로드 수가 다수의 기기가 해킹됐다는 것을 의미하지는 않는다.

안드로이드에는 베리파이 앱스(Verify Apps)와 세이프티넷(SafetyNet)과 같은 로컬 보호 기능이 있는데, 이는 알려진 루트 익스플로잇을 탐지하고 막기 위해 디자인됐다.

카스퍼스키는 러시아, 인도, 인도네시아 등지에서 최소 6,000개 이상의 감염 사실을 확인했다. 카스퍼스키 연구원들은 "이 앱은 영어 기반의 사용자들을 대상으로 하고 있지만 상당 수가 다운로드받았다"고 말했다.

구글 플레이 스토어 내에서 트로이 모듈을 탑재한 앱은 이 악의적인 포켓몬 고 가이드(Guide for Pokémon Go) 앱만이 아니었다. 카스퍼스키는 2015년 12월 이래로 여러 경우에서 악의적인 앱들을 발견한 바 있다.

지난 수년동안 구글은 악성코드로부터 자체 공식 앱 스토어를 지키기 위해 상당히 노력을 기하고 있지만 이번 사건에서 보듯이 악의적인 애플리케이션들은 가끔씩 출현한다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.