이용자들의 개인정보를 탈취하기 위한 목적의 '트로이목마'가 포함된 게임 애플리케이션(앱)이 안드로이드 기기에 약 930만회 설치된 것으로 나타났다.

11일 보안기업 이스트시큐리티에 따르면 해당 트로이목마는 러시아 안티바이러스 소프트웨어(SW) 기업 닥터 웹(Dr.Web) 연구원에 의해 화웨이 앱마켓 '앱갤러리'에서 처음 발견됐다. 

이 트로이 목마는 정보 탈취 멀웨어 '사이노스(Cynos)'의 수정된 버전으로, 기기에 광고를 표시하고 사용자 데이터를 수집하도록 설계됐다. 닥터 웹은 사이노스 트로이 목마가 포함된 게임 앱을 총 190개 발견했다고 밝혔다.

공격자는 러시아어, 중국어, 영어 사용자를 대상으로 시뮬레이터, 아케이드, 슈팅게임 등으로 위장한 안드로이드 앱 내부에 악성 코드를 숨겼다. 사용자가 앱을 설치한 후 실행하면 전화걸기, 사용자 위치 감지 등 일반적으로 게임과 관련이 없는 권한을 요청한다. 

만약 사용자가 요청을 허용할 경우 악성코드는 ▲사용자 휴대폰 번호 ▲GPS 좌표 ▲모바일 네트워크, 와이파이(Wi-Fi) 데이터를 기반으로 한 위치정보 ▲네트워크 코드 및 모바일 국가 코드 등 데이터를 원격 서버로 유출한다. 이외에도 사이노스 트로이 목마는 유료 문자를 발신하고 수신된 문자를 가로챌 뿐만 아니라 추가 모듈이나 앱을 설치할 수 있다. 

이스트시큐리티 ESRC측은 "이러한 앱으로 인해 유료 서비스에 가입하게 돼 예상치 못한 요금이 부과될 수 있다"며 "사이노스 트로이 목마를 포함한 변종을 탐지할 수 있는 안티바이러스 툴을 사용하는 것이 좋다"고 설명했다.

플레이 스토어, 갤럭시 스토어도 '안전지대' 아니다

이같은 사례는 구글 플레이스토어, 삼성 갤럭시 스토어 등 앱마켓 전반에서 잇따라 발생하고 있다.

최근 모바일 보안업체 '룩아웃' 연구진은 보고서를 통해 루팅 악성코드 '앱스트랙에뮤(AbstractEmu)'를 발견했다고 밝혔다. 

앱스트랙에뮤는 구글 플레이스토어, 아마존 앱스토어, 삼성 갤럭시 스토어와 같은 유명 앱마켓은 물론 앱토이드(Aptoide), APK퓨어(APKPure) 등에서도 발견됐다. 이 악성코드는 ▲비밀번호 관리 도구 ▲앱 런처 ▲데이터 세이버 ▲광고 차단 도구 등 유틸리티 앱으로 위장한 19개 앱에서 발견됐다. 

이들 앱은 실제로 판매됐을 뿐만 아니라 사회관계망서비스(SNS)에서 광고도 되고 있던 것으로 나타났다. 그 중 '라이트 런처(Lite Launcher)'라는 앱은 구글 플레이스토어에서 1만회 이상 다운로드 됐다.

사용자가 이들 앱을 설치 후 실행하면 ▲전화번호 ▲IP 주소 ▲계정 정보 ▲기기 제조업체 ▲모델 및 버전 등 데이터를 공격자 서버에 유출시킨다. 이후 공격자는 데이터를 기반으로 관리자 권한을 획득하고 사용자 장치를 조종한다.

특히 금융 목적으로 이용될 가능성이 있다고 룩아웃 연구진은 경고했다. 문자로 발송되는 이중 인증 코드를 탈취하거나 피싱 공격을 감행할 수 있다는 것. 실제로 이 앱스트랙에뮤는 금융앱을 비롯한 다른 앱과 상호작용이 가능하며, 화면 내용 캡처, 접근 서비스처럼 장치와 원격 상호작용을 허용하는 권한도 포함된 것으로 나타났다.

크리스티나 발람(Kristina Balaam) 룩아웃 보안 인텔리전스 엔지니어는 "최소 17개 이상 국가에서 앱스트랙에뮤에 의한 피해를 입은 것으로 나타났다"며 "피해 대상을 무작위로 지정하고 자금 탈취가 목적이지만 광범위한 스파이웨어 기능이 있으므로 다른 목적으로도 이용될 수 있다"고 강조했다.

폴 셩크(Paul Shunk) 보안 인텔리전스 엔지니어는 "신뢰하는 앱 스토어에서 앱을 다운로드하고 추가적 보호 방안과 모니터링이 필요하다"며 "정기 운영체제(OS) 보안 패치가 이뤄지는 기기를 선택하고 불필요한 앱을 제거하는 것이 중요할 뿐만 아니라 모바일 보안 소프트웨어도 있어야 한다"고 강조했다.

김가은 기자 7rsilver@techm.kr