구글이 직접 관리하는 안드로이드 애플리케이션(이하 '앱') 장터에서 악성코드에 감염된 흔적이 132건 발견됐다. 안드로이드 악성코드가 아니라 윈도 악성코드였다.
보안솔루션업체 팔로알토네트웍스는 지난 1일 리서치센터 블로그를 통해 악성 웹페이지 링크를 품은 안드로이드 앱 132건을 찾아냈으며 그중 가장 인기있는 앱 하나는 설치횟수 1만건을 기록했다고 밝혔다. 연구자들이 이를 구글 보안팀에 제보했고, 모든 감염된 앱이 구글플레이 장터에서 제거됐다고 덧붙였다.
[☞원문: Google Play Apps Infected with Malicious iframes - Palo Alto Networks Blog]
발견된 앱은 그 로컬 웹페이지에 악성 도메인을 연결한 아이프레임(iframe)을 숨긴 채 구글플레이에 등록돼 있었다. 아이프레임은 웹페이지 안에 다른 웹페이지를 삽입할 수 있는 HTML 태그의 일종이다. 아이프레임으로 삽입된 페이지 주소는 브라우저 주소창에 표시되지 않기 때문에, 그 페이지 출처가 악성 도메인인지 알아차리기 어렵게 만든다.
![](https://image.zdnet.co.kr/2017/03/03/imc_GmPN6GAiS7W9alci.jpg)
IT미디어 컴퓨터월드 보도에 따르면 감염된 앱은 치즈케이크, 정원 가꾸기, 안뜰 꾸미기같은 디자인 아이디어를 보여 주는 역할을 했다. 사용자가 감염된 앱을 안드로이드 기기에 설치하면 정상적인 웹페이지를 나타내는 듯 보이지만, 페이지에는 수상한 도메인 2곳을 링크한 채 아주 작게 표시된 아이프레임이 숨어 있었다.
[☞원문: Old Windows malware may have infected 132 Android apps]
발견된 앱 가운데 한 사례를 보면, 그 개발 플랫폼은 윈도 운영체제(OS) 기반이었을 공산이 크다. 문제가 있는 아이프레임을 포함하지 않은 다른 앱은 윈도OS에서 동작하는 마이크로소프트 비주얼베이직 스크립트 코드를 포함했다. 이는 안드로이드 사용자에겐 해로울 게 없다. 하지만 개발자가 악성코드에 감염된 윈도 기기에서 앱을 만들었다면 벌어질 수 있는 일이다.
문제의 악성 도메인 2건은 폴란드 지역 도메인이었다. IT미디어 아스테크니카는 2일(현지시간) "구글플레이 앱 132개가 안드로이드 사용자를 윈도 악성코드로 감염시키려 했다"는 표현으로 이 소식을 전하면서 이 도메인 소유가 지난 2013년 현지 경찰에 넘어간 상태라고 전했다. 과거 악성 도메인으로 쓰였지만 지금은 그 기능을 하진 않는단 얘기다.
아스테크니카 보도는 연구자들의 설명 가운데 "이 방식을 통해 공격자들은 앱의 모든 자원을 이용하고 제어할 수 있게 된다"고 경고하기도 했다. 또 "공격자는 개발자의 서버 위치를 고쳐 정보를 빼돌리거나 앱 동작을 바꿔 루팅 도구 추가, 권한 요구, 악성 앱(APK) 파일 설치를 통해 그들의 공격범위를 키울 수 있다"고 덧붙였다.
관련기사
- 악성코드 배달부 스팸메일, 봇넷 타고 확산2017.03.03
- 구글플레이, 앱 업데이트 '새로고침' 버튼 생긴다2017.03.03
- 백신이 못 막는 랜섬웨어, 윈도가 막나2017.03.03
- 구글플레이, 랜섬웨어 유포지로 전락2017.03.03
[☞원문: 132 Google Play apps tried to infect Android users with… Windows malware]
다만 해당 앱을 만든 이들에게 나쁜 짓을 할 생각은 없었던 듯하다. 연구자들의 표현에 따르면 이들은 '희생자'였다. 앱 개발 플랫폼이 감염당했고, 그 흔적으로 악성 도메인을 연결한 로컬 웹페이지가 남은 셈이다. 개발자가 알아차리지 못한 사이에 감염당한 그의 개발 플랫폼을 통해 모바일 악성코드가 확산한 사례 가운데 하나다.