2017년 11월 21일(화)

유럽의 엔드포인트 보안 전문 업체 ESET(이셋)의 국내 대표 법인 이셋코리아 (대표: 김남욱, http://www.estc.co.kr)는 Google Play 스토어를 통해 배포되는 안드로이드용 다단계 악성코드 감염에 주의가 필요하다고 전했다.

ESET 제품에 의해 Android/TrojanDropper.Agent.BKY 로 진단되는 이 악성코드들은 합법적인 형태를 취함으로써 악의적인 행위를 지연하기 위해 여러 단계의 동작을 거치는 안드로이드 악성코드 군으로서, 지금까지 8 개의 악성 앱이 Google Play 스토어에서 발견되었으며, 현재 스토어에서 모두 삭제된 상태지만 추가로 등록될 가능성은 여전히 존재한다.

이 악성 앱들은 모두 다단계 페이로드 구조와 암호화를 사용함으로써 악성코드로 탐지되는 것을 회피하고 있다. 다운로드 및 설치 후 악성코드로 의심을 받을 만한 권한을 즉시 요청하지 않으며, 심지어 사용자가 일반적으로 예상할 수 있는 행동을 모방함으로써 조기 탐지를 방지한다. 이를 위해 악성 앱은 첫 번째 페이로드를 해독하고 실행하는데, 이 첫 번째 페이로드는 Google Play 스토어에서 다운로드한 최초 악성 앱의 데이터로 저장된 두 번째 페이로드를 해독하고 실행하며, 이러한 단계는 사용자가 알 수 없도록 백그라운드에서 일어난다. 두 번째 페이로드에는 하드코딩 된 URL 을 포함하고 있어 또 다른 악성 앱(세 번째 페이로드)을 다운로드한 후 약 5 분 이후에 이를 설치하라는 메시지가 나타난다. 

두 번째 페이로드에서 다운로드한 악성 앱은 Adobe Flash Player 와 같이 잘 알려진 소프트웨어나 안드로이드 업데이트, 어도비 업데이트 등 정상적인 앱으로 위장되어 있지만, 주 목적은 마지막 페이로드를 설치하고 악성 행위에 필요한 모든 권한을 얻는 것이다. 마지막 페이로드가 설치되고 요청된 권한을 획득하면 이 페이로드를 해독하고 실행한다. ESET 이 조사한 모든 사례에서 마지막 페이로드는 모바일 뱅킹 트로이 목마였으며, 일단 설치되면 전형적인 모바일 뱅킹용 악성코드로 동작하는데, 사용자에게 가짜 로그인 페이지를 제공하여 로그인 정보나 신용카드 정보를 훔칠 수 있다.

이러한 앱을 다운로드한 경우 설치된 페이로드에 대한 관리자 권한을 비활성화하고, 추가 설치된 페이로드와 Google Play 스토어에서 다운로드한 앱을 삭제해야 한다. 안타깝게도 여러 단계의 다운로더는 난독화되어 있기 때문에 일반적인 안드로이드 악성코드보다 공식적인 앱 스토어에 등록될 가능성이 높다. 따라서 사용자는 공식적인 앱 스토어의 보호에만 전적으로 의존하는 것은 위험하다. 사용자 스스로 앱 평점과 댓글을 확인하고, 앱에 부여된 권한에 주의를 기울여야 하며, 검증된 악성코드 대응 솔루션을 사용하는 것이 좋다.

이셋코리아의 김남욱 대표는 "발전된 난독화 기술을 이용한 악성코드는 배포되기 전에 이를 진단하기가 매우 어렵습니다. 새로운 앱을 다운로드할 때는 세심한 주의가 필요하며, 필요 이상의 권한을 요청하는 앱의 설치는 더욱 조심해야 합니다. 앱 배포자 의한 보안은 한계가 있다는 점을 인지하시고, 사용자 스스로 자신의 정보를 지키는 노력이 필요합니다."고 주의를 전했다.