구글 플레이 공식 스토어에서 또 멀웨어가 전파됐다. 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 겉으로 보기에는 정상적인 애플리케이션들인데 사실은 멀웨어인 것들이 이미 수만 번 이상 다운로드 됐다고 한다.
문제의 멀웨어는 몹스트스파이(MobSTSPY)라는 이름을 가지고 있으며, 피해자로부터 다양한 정보를 수집하는 기능을 가지고 있다. 이미 예전부터 존재해왔던 것으로, 그 자체로는 새로운 멀웨어가 아니다. 다만 공격자들이 배포 전략을 바꿨고, 거기에 구글이 당한 것이다.
트렌드 마이크로에 의하면 “몹스트스파이를 내포하고 있는 애플리케이션을 총 6개 발견했다”고 한다. 이 앱들의 이름은 플래시라이트(FlashLight), HZ퍼미스 프로 아라브(HZPermis Pro Arabe), 윈7뮬레이터(Win7imulator), 윈7런처(Win7Launcher), 플래피 버드(Flappy Bird), 플래피 버르 도그(Flappy Birr Dog)다. 전부 2018년 구글 플레이에 등록되었으며, 10만 번 이상 다운로드 된 것도 있다.
이런 애플리케이션이 피해자의 기기에 설치가 되면, 몹스트스파이가 활동을 시작한다. 그러면서 문자 대화 내용, 통화 목록, 사용자 위치, 클립보드 아이템 등을 훔쳐낸다. 그리고 이런 정보들을 파이어베이스 클라우드 메시징(Firebase Cloud Messaging)을 사용해 공격자가 운영하는 서버로 전송한다.
최초 실행 시 몹스트스파이는 기기의 네트워크 상태를 확인한다. 그런 후에는 XML 설정 파일 하나를 C&C 서버로부터 읽고 분석한다. 그 과정이 끝나면 장비의 언어 설정, 등록된 국가, 패키지 이름, 생산자 이름 등을 수집한다. 이 정보는 C&C 서버로 전송되고, 등록 과정이 진행된다. 그 다음 몹스트스파이는 서버로부터 명령이 올 때까지 가만히 기다린다.
하지만 아직까지는 굉장히 다양한 명령을 실행시킬 수 있는 것 같지는 않다. “여태까지 분석된 내용에 의하면 몹스트스파이가 한 건 SMS 메시지와 통화 목록을 훔친 게 전부입니다. 하지만 연락처 목록과 기기 내 파일을 수집하는 것 정도도 할 수 있는 것으로 보입니다.” 트렌드 마이크로의 설명이다.
그렇다고 기능이 제한적인 멀웨어는 아니다. 감염시킨 기기로부터 크리덴셜을 수집해 피싱 공격을 실시할 수도 있기 때문이다. “몹스트스파이는 가짜 페이스북이나 가짜 구글 팝업을 화면에 띄웁니다. 사용자가 계정 정보를 입력하도록 하는 것이죠. 사용자가 속아서 ID와 비밀번호를 입력하면, ‘로그인 실패’ 메시지가 뜹니다. 물론 필요한 정보는 다 가져간 뒤지만요.”
이번에 발견된 공격에 있어서의 핵심은 몹스트스파이가 구글 공식 스토어라는 채널을 통해 광범위하게 배포되었다는 것이다. “트렌드 마이크로가 백엔드 모니터링과 심층 분석을 통해 조사해본 결과, 피해자들이 약 196개국에 분포되어 있었습니다.”
피해가 가장 많은 국가는 인도였다. 전체 피해자의 31%가 인도인들이었다. “그 다음은 7.5%를 기록한 러시아, 4.8%의 파키스탄, 4.7%의 방글라데시, 3.4%의 인도네시아입니다. 그 뒤로는 브라질, 이집트, 우크라이나, 터키, 미국이 많은 피해를 입었습니다.”
“결국 공식 앱 스토어 측에 모든 보안을 맡길 수 없다는 결론에 도달하게 됩니다. 사용자들이 앱을 선택할 때 조심해야 할 책임도 분명히 있습니다. 그게 도의적 혹은 논리적으로 올바르다는 게 아닙니다. 공식 스토어들이 자꾸만 뚫리고 있으니, 현실적으로 사용자들이 몸을 사리는 게 맞다는 겁니다. 결국 멀웨어 감염 때문에 손해를 보는 건 사용자 자신들이거든요.”
3줄 요약
1. 구글 플레이 스토어에서 유통되던 앱 6개 통해 멀웨어 배포됨.
2. 심지어 10만 번 이상 다운로드 된 앱도 있음. 196개국에서 피해자 속출.
3. 결국 앱 다운로드 받을 때 사용자가 스스로 더 조심해야 함.
심각 하네요
소식 감사합니다.