14.8%의 사용자가 삭제 불가능한 애드웨어와 트로이목마에 감염되어 있어
대부분 이미 멀웨어 및 애드웨어 탑재된 채 출시되는 경우...저가형에서 특히 많아[보안뉴스 문가용 기자] 무시할 수 없는 수의 안드로이드 사용자들이 모바일 멀웨어 및 애드웨어에 감염되어 있다는 보고서를 보안 업체 카스퍼스키(Kaspersky)가 발표했다. 심지어 이 멀웨어들은 삭제조차 불가능하다고 한다.
[이미지 = utoimage]
이 보고서에 의하면 약 14.8%의 사용자들에게서 이 삭제 불가능한 파일들이 발견되고 있다고 한다. 트로이목마에서부터 광고를 잔뜩 띄우는 앱까지, 다양한 종류의 악성 행위들을 실시하기 위한 파일들이다. “삭제가 불가능한 건 시스템 파티션에 파일들이 있기 때문입니다. 이는 대단히 높은 수준의 위협입니다. 보안 솔루션들조차 시스템 디렉토리에는 접근할 수 없습니다. 장비를 버릴 때까지 위협이 되는 파일을 시스템 폴더에 갖추고 있어야 한다는 뜻입니다.”
그렇다면 이 파일들을 어디서 온 것일까? 대부분 출시 전에 이미 장비에 설치된다고 한다. 장비 제조사나 통신사, 혹은 공급망에 개입한 누군가가 새 제품에 미리 손을 쓰는 경우가 많다는 것이다. 주로 저가형 장비에서 이런 현상들이 종종 나타난다. 또한 누군가 해킹을 통해 모바일 장비에 침투한 후 루트 권한까지 획득함으로써 이런 파일들을 시스템 폴더에 설치하는 경우가 있다고 한다.
이렇게 지울 수 없는 형태로 존재하는 멀웨어들 중 가장 많이 나타나는 건 레족(Lezok)과 트리아다(Triada)인 것으로 밝혀졌다. 둘 다 굉장히 오래된 멀웨어 혹은 애드웨어인데, 이중 트리아다는 “거의 모든 앱들에서 사용되는 핵심 라이브러리인 libandroid_runtime에 직접 코드를 임베드 시킨다는 특성을 가지고 있다”고 한다. 그러나 이것 외에도 위협들은 더 있다.
예를 들어 에이전트(Agent)라는 트로이목마는 시스템의 그래픽 관리 인터페이스 앱이나 설정 유틸리티에 숨어든다. 이 두 가지 앱이 없으면 스마트폰은 제 기능을 발휘하기가 어렵다. 따라서 에이전트의 제거가 무척 까다롭다. 에이전트는 임의의 파일을 장비로 다운로드 받아 실행시키는 기능을 발휘한다.
시부(Sivu)라는 트로이목마도 제법 나오는 편이다. HTML뷰어(HTMLViewer) 앱인 것처럼 위장한 일종의 드로퍼다. 카스퍼스키에 의하면 시부는 두 가지 모듈로 구성되어 있으며, 장비에서 루트 권한을 갖은 채 활동한다고 한다. 첫 번째 모듈은 다른 모든 창보다 가장 위에 광고를 노출시키는 것이며, 두 번째 모듈은 스마트폰의 원격 제어를 가능하게 하는 백도어다. 추가 앱을 설치 및 실행시킬 수 있다.
플레이그(Plague)라는 애드웨어 역시 이런 식의 위협을 통해 자주 나타난다고 카스퍼스키는 밝혔다. 역시 시스템 파티션에 설치되기 때문에 제거가 어렵다. 중요 시스템 서비스인 것처럼 위장되어 있지만(이름도 Adroid Services) 사실은 사용자 몰래 다른 앱을 다운로드 받아 설치한다. 알람 띄우듯이 광고를 띄우는 기능도 있다.
흔치 않게 발견되는 것들 중에는 네크로디(Necro.d)라는 트로이목마도 있다. 시스템 디렉토리 내에 설치되어 있어 제거가 힘들다. 앱들을 추가로 다운로드 받아 설치하거나 삭제할 수 있다. 주로 슈퍼유저 권한을 제공하는 유틸리티인 킹루트(Kingroot)를 다운로드 한다고 한다. 그 외에 마냥 흔하지도 않고, 그렇다고 전혀 안 나타나는 것도 아닌 멀웨어들에는 펭귄(Penguin), 팩모드(Facmod), 게릴라(Guerrilla), 버추얼인스트(Virtualinst), 시크릿애드(Secretad) 등이 있다.
이번 조사를 통해 내릴 수 있는 결론은 무엇일까? 카스퍼스키는 보고서를 통해 다음과 같이 썼다. “모바일 사용자들은 애드웨어 등으로부터 주기적인 공격을 받습니다. 이건 사실 누구나 아는 사실인데요, 이번 조사를 통해 확실히 알게 된 건, 구입하기도 전에 공격을 받는 경우가 상당히 있다는 겁니다. 자기가 돈을 내고 누군가가 자꾸 광고를 거는 대형 광고판을 구매하고 싶은 사람은 없을 겁니다. 그러나 그런 일이 사실상 모바일 생태계에서 빈번히 일어나고 있습니다. 일부는 모바일 개발자가 이윤을 최대화 하기 위해, 일부는 누군가 중간에서 부적절한 광고 수익을 얻기 위해 이러한 일을 하고 있습니다.”
3줄 요약
1. 적지 않은 수의 안드로이드 모바일 사용자가 장비 구매와 동시에 감염됨.
2. 특히 애드웨어와 트로이목마가 삭제 불가능한 곳에 설치된 경우가 많음.
3. 저가형 제품에서 이런 공격 많이 보이는 것 보면, 제조사의 수익 높이기 방법인 듯.
[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=89589&page=1&kind=1)]
