지난 목요일, 구글의 공식 플레이 스토어에서 무료로 다운로드 할 수 있는 50개의 안드로이드 앱들이 구글에 의해 삭제되었는데, 이 앱들은 삭제되기 전 까지 100만회에서 420만회 다운로드 된 것으로 확인되었다.
이 안드로이드 앱들은 피해자들을 유료 온라인 서비스에 은밀히 가입시켜 피해자의 스마트폰에서 유료 텍스트 메시지를 보내 요금을 부과하는 악성코드 페이로드를 숨기고 있었다. 또한 이 모든 것은 사용자의 권한도 없이 사용자가 알지 못하는 사이에 이루어진다.
한편 이 악성코드는 Lovely Wallpaper 앱에서 발견 되었기 때문에, 연구원들은 이를 ExpensiveWall이라 명명했다. 이 악성코드는 무료 배경화면, 비디오, 사진 편집 앱들에 숨겨져 있었다. 이는 올해 초 플레이스토어에서 발견된 악성코드의 새로운 변종이다.
ExpensiveWall이 기존 변종과 다른 점은, 구글 플레이스토어의 빌트인 안티 악성코드 보호장치를 우회하기 위해 악성 코드를 압축해 암호화하는 “packed”라 불리는 고급 난독화 기술을 사용한다는 점이다.
연구원들은 지난 8월 7일 구글에 악성 앱에 대해 제보했으며, 구글은 이를 모두 제거했다. 하지만 며칠이 지나자, 이 악성코드는 플레이 스토어에 다시 나타나 5천대의 기기를 감염 시켰으며 4일 후 다시 제거 되었다.
피해자 기기에 개발 소프트웨어 키트인 GTK로 만들어진 것으로 추정 되는 ExpensiveWall을 포함한 앱이 다운로드 되면, 이 악성 앱은 사용자에게 인터넷 접근, SMS 송/수신 권한을 요구한다.
인터넷 접근 권한은 악성코드가 피해자의 기기를 공격자의 C&C 서버와 연결하는데 사용 한다. 악성코드는 이 C&C 서버에 기기의 MAC 주소 및 IP 주소, IMSI, IMEI 번호 등과 같은 하드웨어 고유 식별자, 위치 정보 등의 정보를 전송한다.
이후, C&C 서버는 임베디드 WebView 창을 오픈하는 URL을 악성코드에 보낸다. 이 창은 피해자가 모르는 사이에 기기로 사기성 유료 문자를 보내고, 피해자의 전화번호를 유료 서비스에 가입 시키는 JavaScript를 다운로드 한다.
하지만 범죄자들이 ExpensiveWall의 유료 SMS 사기를 통해 얼마나 많은 수익을 올렸는지는 아직 분명하지 않다. [정보제공. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★
