보안 / 안드로이드

“구글 계정 100만 개 이상 유출” 안드로이드 악성코드 ‘굴리건’ 주의보

Michael Kan | IDG News Service 2016.12.01
안드로이드 기기의 루트 권한과 구글 계정 정보를 탈취하는 악성코드가 기승을 부리고 있다. 이미 100만 개 이상의 구글 계정이 유출됐으며, 계속 영향력이 커지고 있다.

이 사실을 전한 보안 업체 체크포인트(Checkpoint)에 따르면, 굴리건(Gooligan)이라는 이 악성코드는 안드로이드 사용자의 구글 계정을 탈취해서 특정 광고 네트워크에 광고되고 있는 앱을 다운로드하거나 앱의 리뷰 점수를 높게 주기 위해 활용된다. 굴리건은 특히 아시아 지역에서 여전히 많이 사용되고 있는 안드로이드 4.1~5.1 버전의 기기를 대상으로 한다.

체크포인트는 “역대 최대의 구글 계정 유출 사고라고 생각한다”고 말했다.

굴리건은 정상적인 안드로이드 앱으로 위장한다. 체크포인트가 발견한 굴리건 포함 앱은 총 86건인데, 그 중 상당수가 서드파티 앱 스토어에서 제공되고 있다. 굴리건이 기기에 설치되면, 구형 안드로이드 버전의 잘 알려진 취약점을 익스플로잇해서 루트 권한을 탈취한다.

체크포인트는 “해당 취약점에 대한 보안 패치가 일부 안드로이드 버전에서 이용할 수 없거나, 사용자가 패치를 설치하지 않아서 여전히 이 익스플로잇은 여전히 전염성이 있다”고 설명했다.

체크포인트에 따르면, 현재 100만 개 이상의 구글 계정이 유출됐으며, 그 중 19%가 미국, 9%가 유럽, 57%가 아시아 지역 사용자의 계정이다.



루트 권한을 탈취한 굴리건은 사용자의 구글 인증 토큰을 탈취해서 지메일과 구글 플레이 및 기타 관련 서비스에 접근할 수 있게 된다. 사용자의 구글 계정에 접근할 수 있게 되면, 이 악성코드는 이제 수익화를 시도한다. 광고 네트워크에서 홍보되는 앱을 설치하거나 구글 플레이에서 특정 앱에 대한 긍정적인 리뷰를 남기는 것 등이다.

체크포인트는 “공격자들은 굴리건 앱이 성공적으로 설치되었을 때 광고 네트워크로부터 돈을 받는다”고 설명했다.

지난해 악성 앱인 ‘스냅피(SnapPea)’가 등장했을 때, 굴리건 앱의 초기 버전이 확인된 바 있으며, 여름에 업그레이드된 프로세스로 다시 등장했다.

체크포인트는 사용자들이 구글 계정이 굴리건에 감염됐는지를 확인할 수 있는 웹사이트를 열었다. 

한편, 보안 전문가들은 사용자들이 서드파티 앱 스토어에서 앱을 다운로드 받지 말 것을 권고한다. 이 앱 스토어들은 등록된 앱들의 안전을 보장해주지 않기 떄문이다.

굴리건을 만든 공격자들 역시 앱을 다운로드할 수 있는 링크가 포함된 MS 메시지를 보내 악성코드를 확산시키고 있다.

구글은 아직 굴리건에 대한 대책을 발표하지 않았지만, 체크포인트는 구글이 이 문제를 조사중이며 악성코드에 탈취된 인증 토큰을 파기하고 있다고 전했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.