CWN(CHANGE WITH NEWS) - 악성 안드로이드 파일 관리자 앱, ′샤크봇′ 멀웨어 유포...온라인 뱅킹 로그인 악용해 계정 탈취

소프트웨어 기업 비트디펜더(Bitdefender) 연구팀이 안드로이드 앱의 멀웨어 감염 문제를 발견했다.

사이버 보안 전문 매체 블리핑컴퓨터는 연구팀의 발표를 인용, 악성 안드로이드 앱이 보안 문제가 없는 파일 관리 프로그램으로 위장하여 사용자 기기에 샤크봇(Sharkbot) 멀웨어를 유포했다고 보도했다.

샤크봇은 뱅킹 앱의 정상적인 로그인 명령에 가짜 로그인 양식을 게재해 온라인 뱅킹 계정 탈취를 시도한다. 사용자가 가짜 로그인 양식에 계정 정보를 입력하는 순간 민감 정보가 탈취되며, 그 즉시 해커 세력의 손에 넘어간다.

샤크봇 멀웨어 유포 시 동원된 앱 모두 파일 관리자 프로그램이라는 점에서 샤크봇 멀웨어 실행 시 악성 활동 의심을 어느 정도 피할 수 있었다.

사실, 비트디펜더 연구팀에 앞서 보안 기업 체크포인트(Check Point)도 지난 3월, 샤크봇 유포 앱 6개를 발견했다. 누적 다운로드 횟수 1만 5,000번을 넘어선 샤크봇 유포 앱 모두 개발자 계정 3개를 이용해, 구글 스토어에 앱을 등록했다.

또, 지난달에는 ‘미스터 폰 클리너(Mister Phone Cleaner)’, ‘킬하비 모바일 시큐리티(Kylhavy Mobile Security)’라는 이름의 앱이 샤크봇을 유포한 사실이 확인됐다. 두 가지 앱 모두 플레이스토어 등록 당시에는 보안을 위협할 만한 요소를 포함하지 않았다. 그러나 플레이 스토어 등록 후 업데이트를 통해 계정 접속 정보 탈취 기능을 추가했다.

이번에 비트디펜더 연구팀이 발견한 악성 앱 중 하나는 빅터 소프트 아이스 LLC(Victor Soft Ice LLC)가 등록한 ‘X-File 매니저(X-File Manager)’이며, 구글 플레이 스토어 다운로드 횟수 1만 건을 넘어섰다. X-File 매니저는 안티 에뮬레이션(anti-emulation) 확인 기능을 실행해 보안 프로그램의 악성 프로그램 감지를 피했다.

X-File 매니저는 사용자 기기에 외부 저장소 읽기나 쓰기, 신규 패키지 설치, 계정 상세 정보 접근, 패키지 삭제 등 위험성이 큰 활동 승인 요청을 보냈다. 하지만 앱 권한 승인 자체가 대다수 앱을 처음 실행할 때 처음 요청하는 사항과 큰 차이가 없는 것처럼 보여 많은 사용자가 별도의 주의를 기울이지 않고 X-File 매니저의 접근 요청을 승인했다.

지금까지 X-File 매니저로 샤크봇에 감염된 기기 모두 영국이나 이탈리아 SIM 카드를 설치한 안드로이드 기기이다.

연구팀이 발견한 두 번째 앱은 줄리아 소프트 Io LLC(Julia Soft Io LLC)가 등록한 뒤 구글 플레이 스토어 누적 다운로드 횟수 5,000번을 기록한 ‘파일보야저(FileVoyager)’이다. 파일보야저의 멀웨어 설치 작전 형태는 전체적으로 X-File 매니저와 거의 비슷하며, 이탈리아와 영국 금융 기관을 주요 공격 대상으로 삼았다.

연구팀이 발견한 또 다른 샤크봇 유포 앱인 ‘라이트클리너 M(LiteCleaner M)’은 구글 플레이 스토어에서 삭제되기 전까지 누적 다운로드 횟수 1,000회를 기록했다. 라이트클리너 M은 현재 APKSOS와 같은 서드파티 앱 스토어를 통해서만 내려받을 수 있는 상태이다.

또, APKSOS에는 ‘폰 에이드, 클리너, 부스터 2.6(Phone AID, Cleaner, Booster 2.6)’이라는 또 다른 샤크봇 실행 앱이 등록되었다.

한편, 비트디펜더 연구팀이 발견한 앱 모두 구글 플레이 스토어에서 삭제된 상태이다. 하지만 연구팀은 “피해를 본 사용자 다수가 플레이 스토어에서 삭제되기 전에 앱을 내려받고는 기기 설치 상태를 유지하거나 기기가 샤크봇 멀웨어에 감염된 사실을 알지 못했다”라고 전했다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]