구글이 직접 관리하는 안드로이드 애플리케이션(이하 '앱') 장터에서 악성코드에 감염된 흔적이 132건 발견됐다. 안드로이드 악성코드가 아니라 윈도 악성코드였다.
보안솔루션업체 팔로알토네트웍스는 지난 1일 리서치센터 블로그를 통해 악성 웹페이지 링크를 품은 안드로이드 앱 132건을 찾아냈으며 그중 가장 인기있는 앱 하나는 설치횟수 1만건을 기록했다고 밝혔다. 연구자들이 이를 구글 보안팀에 제보했고, 모든 감염된 앱이 구글플레이 장터에서 제거됐다고 덧붙였다.
[☞원문: Google Play Apps Infected with Malicious iframes - Palo Alto Networks Blog]
발견된 앱은 그 로컬 웹페이지에 악성 도메인을 연결한 아이프레임(iframe)을 숨긴 채 구글플레이에 등록돼 있었다. 아이프레임은 웹페이지 안에 다른 웹페이지를 삽입할 수 있는 HTML 태그의 일종이다. 아이프레임으로 삽입된 페이지 주소는 브라우저 주소창에 표시되지 않기 때문에, 그 페이지 출처가 악성 도메인인지 알아차리기 어렵게 만든다.
IT미디어 컴퓨터월드 보도에 따르면 감염된 앱은 치즈케이크, 정원 가꾸기, 안뜰 꾸미기같은 디자인 아이디어를 보여 주는 역할을 했다. 사용자가 감염된 앱을 안드로이드 기기에 설치하면 정상적인 웹페이지를 나타내는 듯 보이지만, 페이지에는 수상한 도메인 2곳을 링크한 채 아주 작게 표시된 아이프레임이 숨어 있었다.
[☞원문: Old Windows malware may have infected 132 Android apps]
발견된 앱 가운데 한 사례를 보면, 그 개발 플랫폼은 윈도 운영체제(OS) 기반이었을 공산이 크다. 문제가 있는 아이프레임을 포함하지 않은 다른 앱은 윈도OS에서 동작하는 마이크로소프트 비주얼베이직 스크립트 코드를 포함했다. 이는 안드로이드 사용자에겐 해로울 게 없다. 하지만 개발자가 악성코드에 감염된 윈도 기기에서 앱을 만들었다면 벌어질 수 있는 일이다.
문제의 악성 도메인 2건은 폴란드 지역 도메인이었다. IT미디어 아스테크니카는 2일(현지시간) "구글플레이 앱 132개가 안드로이드 사용자를 윈도 악성코드로 감염시키려 했다"는 표현으로 이 소식을 전하면서 이 도메인 소유가 지난 2013년 현지 경찰에 넘어간 상태라고 전했다. 과거 악성 도메인으로 쓰였지만 지금은 그 기능을 하진 않는단 얘기다.
아스테크니카 보도는 연구자들의 설명 가운데 "이 방식을 통해 공격자들은 앱의 모든 자원을 이용하고 제어할 수 있게 된다"고 경고하기도 했다. 또 "공격자는 개발자의 서버 위치를 고쳐 정보를 빼돌리거나 앱 동작을 바꿔 루팅 도구 추가, 권한 요구, 악성 앱(APK) 파일 설치를 통해 그들의 공격범위를 키울 수 있다"고 덧붙였다.
관련기사
- 악성코드 배달부 스팸메일, 봇넷 타고 확산2017.03.03
- 구글플레이, 앱 업데이트 '새로고침' 버튼 생긴다2017.03.03
- 백신이 못 막는 랜섬웨어, 윈도가 막나2017.03.03
- 구글플레이, 랜섬웨어 유포지로 전락2017.03.03
[☞원문: 132 Google Play apps tried to infect Android users with… Windows malware]
다만 해당 앱을 만든 이들에게 나쁜 짓을 할 생각은 없었던 듯하다. 연구자들의 표현에 따르면 이들은 '희생자'였다. 앱 개발 플랫폼이 감염당했고, 그 흔적으로 악성 도메인을 연결한 로컬 웹페이지가 남은 셈이다. 개발자가 알아차리지 못한 사이에 감염당한 그의 개발 플랫폼을 통해 모바일 악성코드가 확산한 사례 가운데 하나다.
