최근 안드로이드 앱 마켓에 해킹 앱이 대량 등재되었습니다.
안드로이드 앱 마켓 해킹 근황
한국의 안드로이드 생태계에서 멀웨어가 대규모로 퍼졌다고 최근 공개되었습니다.
바로 공격자들이 특정 앱들의 개발 과정에서 사용되는 라이브러리에 악성 코드를 심은 것입니다.
바로 앱 개발에 사용하는 부품 중 하나에서 취약점이 발견된 것인데요. 이미 1억 회 이상 다운로드 됐는데, 사용자 개개인들의 대처가 필요한 상황이라고 합니다.
보안 업체 맥아피(McAfee)가 제일 먼저 발견한 이 멀웨어의 이름은 골도슨(Godoson)이라고 하는데요.
라이브러리 형태로 안드로이드 기반 장비들에 침투하여 여러 가지 악성 행위를 실시할 수 있는 멀웨어라고
맥아피 측은 자사 블로그를 통해 경고했습니다.
현재 데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을
감염시키는 데 성공했다고 합니다. 한국에서 자주 사용되는 애플리케이션 스토어들에서도 이 멀웨어는 발견됐으며,
따라서 더 많은 피해자들이 있을 것으로 예상되고 있습니다.
현재 알려진 것은 롯데 계열의 앱과, 티맵, 지니뮤직, 컬쳐랜드, 메가박스, 곰 플레이어, 아이템 매니아
등 아래의 63개 앱인데요.
update는 업데이트하면 해결할 수 있고, removed는 아직 패치가 나오지 않아 바로 삭제 해야 합니다.
골도슨의 동작
골도슨은 감염시 원격에서 파일을 불러오는데요. 이 원격에서부터 불러들인 설정 파일에는 골도슨이 감염시킨 앱의
기능에 적용될 매개변수들이 저장되어 있다고 맥아피는 밝혔습니다.
이를 통해 골도슨과 관련된 요소들이 어떤 주기로 실행될 지가 결정됩니다.
맥아피는 이 설정 파일들을 바탕으로 골도슨이 주기적으로 장비를 확인하고 정보를 빼돌려 원격 서버로
전송하는 것으로 분석하고 있습니다.
골도슨이 정보를 수집할 수 있는 건 QUERY_ALL_PACKGES라는 권한 허용 설정 때문입니다.
설치될 당시 이 권한을 요청하고, 피해자는 통상 이 권한을 넥스트 신공 등으로 간단하게 허용합니다.
이 권한 때문에 골도슨은 사용자의 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근할 수 있게 됩니다.
이런 정보들을 조합하면 꽤나 정확히 피해자의 위치를 파악할 수 있게 된다고 맥아피는 밝혔습니다.
다만 안드로이드 11 이상 버전을 사용하고 있는 사용자들의 경우 이 권한 때문에 발생하는 피해의
범위가 적은 것으로 보인다고 합니다.
골도슨은 사용자 모르게 웹 페이지들을 로딩하는 기능도 갖추고 있습니다.
공격자들이 이 기능을 활용할 경우 특정 광고의 조회수를 부풀릴 수 있게 되며,
이를 통해 부당한 수익을 가져갈 수 있게 됩니다
. 또한 골도슨은 수집한 정보를 이틀에 한 번 꼴로 공격자에게 전송하기도 하는데,
공격자는 이 주기를 원격의 설정 파일을 통해 바꿀 수 있다고 합니다.
해당 앱이 설치되어 있다면 빠르게 조치하시기 바랍니다.
그럼 즐거운 하루보내세요
'Issue' 카테고리의 다른 글
| 일론 머스크 트위터 CEO 사임 (0) | 2023.05.13 |
|---|---|
| ㅂㅅ은 무죄인데 ㅅㅅ은 유죄? (0) | 2023.05.11 |
| 미국 정부의 동맹국 감청 자료 최초 유포자 체포 (0) | 2023.04.14 |
| 사람들이 잘 모르는 카드 긁는다라는 표현의 유래 (0) | 2023.02.10 |
| 서울 아파트 가장 비싼 곳은? (0) | 2023.02.05 |