"구글플레이 앱에서 윈도 맬웨어 발견"

"132개 앱이 안드로이드 사용자 감염 시도"

컴퓨팅입력 :2017/03/03 10:47

구글이 직접 관리하는 안드로이드 애플리케이션(이하 '앱') 장터에서 악성코드에 감염된 흔적이 132건 발견됐다. 안드로이드 악성코드가 아니라 윈도 악성코드였다.

보안솔루션업체 팔로알토네트웍스는 지난 1일 리서치센터 블로그를 통해 악성 웹페이지 링크를 품은 안드로이드 앱 132건을 찾아냈으며 그중 가장 인기있는 앱 하나는 설치횟수 1만건을 기록했다고 밝혔다. 연구자들이 이를 구글 보안팀에 제보했고, 모든 감염된 앱이 구글플레이 장터에서 제거됐다고 덧붙였다.

[☞원문: Google Play Apps Infected with Malicious iframes - Palo Alto Networks Blog]

발견된 앱은 그 로컬 웹페이지에 악성 도메인을 연결한 아이프레임(iframe)을 숨긴 채 구글플레이에 등록돼 있었다. 아이프레임은 웹페이지 안에 다른 웹페이지를 삽입할 수 있는 HTML 태그의 일종이다. 아이프레임으로 삽입된 페이지 주소는 브라우저 주소창에 표시되지 않기 때문에, 그 페이지 출처가 악성 도메인인지 알아차리기 어렵게 만든다.

구글 공식 앱 장터 구글플레이에서 악성 도메인 링크를 포함한 앱 132건이 발견됐다. 사진은 기사와 무관함. [사진=Pixabay 원본 편집]

IT미디어 컴퓨터월드 보도에 따르면 감염된 앱은 치즈케이크, 정원 가꾸기, 안뜰 꾸미기같은 디자인 아이디어를 보여 주는 역할을 했다. 사용자가 감염된 앱을 안드로이드 기기에 설치하면 정상적인 웹페이지를 나타내는 듯 보이지만, 페이지에는 수상한 도메인 2곳을 링크한 채 아주 작게 표시된 아이프레임이 숨어 있었다.

[☞원문: Old Windows malware may have infected 132 Android apps]

발견된 앱 가운데 한 사례를 보면, 그 개발 플랫폼은 윈도 운영체제(OS) 기반이었을 공산이 크다. 문제가 있는 아이프레임을 포함하지 않은 다른 앱은 윈도OS에서 동작하는 마이크로소프트 비주얼베이직 스크립트 코드를 포함했다. 이는 안드로이드 사용자에겐 해로울 게 없다. 하지만 개발자가 악성코드에 감염된 윈도 기기에서 앱을 만들었다면 벌어질 수 있는 일이다.

문제의 악성 도메인 2건은 폴란드 지역 도메인이었다. IT미디어 아스테크니카는 2일(현지시간) "구글플레이 앱 132개가 안드로이드 사용자를 윈도 악성코드로 감염시키려 했다"는 표현으로 이 소식을 전하면서 이 도메인 소유가 지난 2013년 현지 경찰에 넘어간 상태라고 전했다. 과거 악성 도메인으로 쓰였지만 지금은 그 기능을 하진 않는단 얘기다.

아스테크니카 보도는 연구자들의 설명 가운데 "이 방식을 통해 공격자들은 앱의 모든 자원을 이용하고 제어할 수 있게 된다"고 경고하기도 했다. 또 "공격자는 개발자의 서버 위치를 고쳐 정보를 빼돌리거나 앱 동작을 바꿔 루팅 도구 추가, 권한 요구, 악성 앱(APK) 파일 설치를 통해 그들의 공격범위를 키울 수 있다"고 덧붙였다.

관련기사

[☞원문: 132 Google Play apps tried to infect Android users with… Windows malware]

다만 해당 앱을 만든 이들에게 나쁜 짓을 할 생각은 없었던 듯하다. 연구자들의 표현에 따르면 이들은 '희생자'였다. 앱 개발 플랫폼이 감염당했고, 그 흔적으로 악성 도메인을 연결한 로컬 웹페이지가 남은 셈이다. 개발자가 알아차리지 못한 사이에 감염당한 그의 개발 플랫폼을 통해 모바일 악성코드가 확산한 사례 가운데 하나다.