NEWS

HOME

SECURITY NEWS

[보안뉴스] 구글 플레이에서 발견된 하켄 멀웨어, 8가지 앱에서 발견돼
  • 관리자
  • |
  • 2368
  • |
  • 2020-02-24 22:00:29

민감한 정보 유출시키고 유료 서비스에 피해자를 가입시키는 멀웨어, 하켄

여덟 개 앱 감염시키고 있는 것 발견돼...대부분 사진 유틸리티 및 게임 앱

[보안뉴스 문가용 기자] 공식 구글 플레이 스토어에서 또 악성 앱들이 여럿 발견됐다. 총 여덟 개의 앱인데 전부 하켄(Haken)이라는 멀웨어 패밀리에 감염되어 있는 상태라고 한다. 하켄은 민감한 정보를 외부로 빼돌리고, 동시에 비싼 유료 서비스에 피해자를 몰래 가입시키는 기능을 가지고 있다.

[이미지 = iclickart]


여덟 개의 앱은 대부분 카메라 관련 유틸리티와 아동용 게임으로 총 5만 번 정도 다운로드가 되었다.
1) Kids Coloring
2) Compass
3) qrcode
4) Fruits coloring book
5) soccer coloring book
6) fruit jump tower
7) ball number shooter
8) Inongdan

현재는 지워진 이 앱들 전부 앱 설명에 따른 기능 수행은 충실히 했던 것으로 알려져 있다. 다만 배경에서 사용자 몰래 여러 가지 악성 행위를 진행하는 것이 문제다. 이 앱들과 하켄 멀웨어를 발견한 보안 업체 체크포인트(Checkpoint)의 전문가들은 “비록 5만 남짓한 다운로드 수밖에 기록되지 않았지만 구글 플레이의 감시망을 피해갔다는 건 주목해야 한다”고 설명했다.

하켄은 보안 전문가들이 ‘클릭커(clicker)’라고 부르는 종류의 멀웨어다. 마치 사용자인 것처럼 행동하며 가짜 클릭을 구사하는 것이다. 하켄은 화면에 보이는 모든 것을 클릭한다. 이 때 발생할 수 있는 피해는 두 가지다.
1) 앱이 사용자 몰래 여러 가지 서비스에 사용자를 가입시킬 수 있게 된다.
2) 모바일 화면에 나타나는 민감한 정보에 접근할 수 있게 된다.

하켄이 설치된 후 제일 먼저 하는 일은 원격에 있는 서버와 연결하고 피해자로부터 여러 가지 필수 권한들을 요청하는 것이다. 예를 들어 장비가 시동될 때마다 코드가 실행되도록 하는 등 앱의 정상적인 기능을 위해 필요한 기능들은 아니다.

여기까지 진행을 했다면 페이스북과 구글의 광고 현금화 플랫폼(페이스북 애드 센터와 구글 애드몹)에 코드를 주입한다. 두 플랫폼 계정과 연결된 신용카드 정보에 접근하기 위해서다. 이 계정들은 나중에 피해자 몰래 가입하는 고급 유료 서비스에 대한 비용이 결재되는 곳이기도 하다. 체크포인트가 이 사실을 구글에 알리자, 구글은 모든 앱들을 스토어에서 삭제했다.

체크포인트 측은 “앱을 설치하기 전에 항상 사용자 평가를 검토하라”고 권고한다. “이번에 발견된 악성 앱 여덟 개 모두 사용자들이 ‘수상한 방식으로 작동한다’는 글을 후기에 남겼습니다. 그것도 여러 명이 말이죠. 모든 리뷰를 다 믿을 수 없다는 건 잘 알지만, 이렇게 수차례 경고가 나온 앱이라면 의심을 해보는 게 맞습니다.”

구글 플레이 스토어에서는 계속해서 악성 앱들이 등장하고 있다. 지난 주만 해도 악성 앱 500개를 구글이 스토어에서 찾아내 삭제하기도 했다. 구글 스토어에서 앱을 다운로드 받는 사람들이라면 더더욱 의심을 가지고 앱을 검토해야 하는 게 마땅하다.

 

3줄 요약

1. 구글 플레이 스토어에서 8개의 악성 앱 발견됨.

2. 전부 정상적으로 작동하나 배경에서 하켄이라는 멀웨어를 실행시키고 있었음.

3. 리뷰에 이미 수상하다는 내용 가득 써 있었음. 의심했어야 함. 

 

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=86569&page=1&mkind=1&kind=1]

이전글 [보안뉴스] PDF 변환 앱 코밋닥스, 암호화 없이 파일 전송해
다음글 [보안뉴스] 코로나19 관련 앱만 50여종...믿을 수 있는 앱은?
비밀번호 입력
비밀번호
확인
비밀번호 입력
비밀번호
확인
TOP