감염되면 삭제 안 되는 중국발 안드로이드폰 해킹 앱 발견

English Translation

유명 안드로이드 앱으로 가장해 감염되면 영구히 삭제되지 않으면서 안드로이드폰을 완전히 장악하는 중국발 해킹이 발견됐다. 한국도 공격 대상이다.

파이어아이코리아(대표 전수홍)는 중국 기업으로 추정되는 안드로이드폰 해킹 공격 두 건을 포착했다고 밝혔다. 첫 번째 공격은 악성 애드웨어를 이용해 사용자 안드로이드폰에 침입하고 통제하는 수법을 이용한다. 파이어아이는 ‘엔지이 모비/시닝허(NGE Mobi/Xinyinhe)’라는 중국 모바일 애플리케이션 광고회사를 공격 주체로 추정했다.

악성 애드웨어의 스마트폰 침해 과정
악성 애드웨어의 스마트폰 침해 과정

공격그룹은 유명 앱에 악성코드를 심어 배포했다. 사용자가 스마트폰에 악성 앱을 내려받으면 악성코드가 침입해 단말기 정보를 원격서버에 보낸다. 특정 URL로부터 사용자 스마트폰으로 ‘루트 마스터(Root Master)’라는 APK를 받아 루팅 작업을 진행한다. 루트 권한을 획득한 후에는 ‘rsh’라는 셸 스크립트(Shell Script)를 시행해 루트 백도어를 삽입한다. 악성앱을 제거할 수 없게 해 스마트폰에 영구히 남는다.

악성 애드웨어에 의해 자동으로 설치된 ‘쿨 브라우저’ 및 함께 설치된 위젯
악성 애드웨어에 의해 자동으로 설치된 ‘쿨 브라우저’ 및 함께 설치된 위젯

파이어아이는 공격 배후에 중국 모바일 애플리케이션 광고회사, NGE xinyinhe가 있다고 추정했다. 서버 인증서 정보를 분석한 결과, 공격에 사용된 인증서 중 도메인명(CN)이 ‘ngstream’이었다. 여기서 ‘ng’는 ‘new galaxy’를 의미한다. 이는 공격그룹이라고 추정되는 회사명인 ‘xinyinhe’의 영문명이다. 인증서 기관 항목(Organization) 역시 ‘xinyinhe’였다.

NGE Xinyinhe 앱 리패키징 도구와 해킹에 사용된 서버 인증서에 상응하는 키를 발견했다. 파이어아이는 중국 회사가 공격 배후라는 결정적인 증거라고 분석했다. 해킹 사례가 발견된 주요 채널은 xinyinhe가 참여하고 있는 거대 광고 협력 네트워크다.

‘Kemoge’의 침해 영향권 지도
‘Kemoge’의 침해 영향권 지도

사용자 스마트폰에 침입한 애드웨어는 특정 앱을 자동으로 내려받거나 사용자가 APK 설치 버튼을 클릭하도록 유도한다. NGE Xinyinhe는 그들이 광고하는 앱 다운로드 수를 올리고 광고 메시지를 계속적으로 제공하며 수익을 올린 것으로 알려졌다.

악성 애드웨어는 안드로이드 2.3.4 버전부터 5.1.1 버전에 걸쳐 영향을 미친다. 현재 이용되는 거의 모든 안드로이드 버전을 포함한다. 아마존, 메모리 부스트, 클린 마스터, 플래시라이트 등 300개가 넘는 앱이 조작돼 악성코드가 들어갔다.

파이어아이는 유사한 수법을 쓰는 안드로이드 악성 애드웨어 ‘Kemoge’를 추가로 발견했다. ‘Kemoge’ 역시 유명 앱으로 조작돼 사용자 스마트폰에 침입한 후 루팅해 삭제되지 않는다. 몇몇 침해 사례에서는 루팅 과정에서 NGE xinyinhe 이용한 ‘루트 마스터’가 사용됐다. 두 악성 애드웨어는 상당히 유사한 수법이다.

파이어아이는 현재 ‘Kemoge’ 이용 침해 사례 코드에 중국 간체자가 포함됐고 침해 사례가 발견된 앱 개발자 이름이 Zhang Long인 것을 근거로 중국발 공격으로 추정했다. 한국을 포함해 세계 20여개국이 ‘Kemoge’ 침해 영향권 아래 있다. 정부 기관과 대기업이 주요 공격 대상으로 포함됐다.

전수홍 파이어아이코리아 대표는 “해킹 위협에서 모바일 기기를 지키기 위해서 공식 앱스토어가 아닌 채널을 통해 애플리케이션을 내려 받는 것은 지양하고 최신 버전 안드로이드OS를 이용해야 한다”고 덧붙였다.

김인순기자 insoon@etnews.com