보안 앱 다운 받았는데...알고 보니 악성 앱?

글자 작게 글자 크게 인쇄하기

구글 플레이에서 보안툴로 위장한 악성 애플리케이션이 발견됐다. 사용자 위치 정보를 수집해 다량의 광고를 띄운다.

트렌드마이크로에 따르면, 보안 도구로 위장한 악성앱 36개가 구글 플레이에서 발견됐다. 앱은 스캐닝, 배터리 절약, 중앙처리장치(CPU) 쿨링, 앱 잠금, 메시지 보안, 와이파이(WiFi) 보안 기능을 갖춘 앱으로 위장했다. 앱은 실제 이 같은 기능을 구현해 사용자를 현혹한다. 그러나 사용자 데이터를 비밀리에 수집해 광고 팝업창을 띄운다.

지난해 12월 트렌드마이크로가 구글플레이에서 발견한 악성앱. 가짜 알림메시지로 사용자를 현혹한다. <출처 트렌드마이크로 블로그>
<지난해 12월 트렌드마이크로가 구글플레이에서 발견한 악성앱. 가짜 알림메시지로 사용자를 현혹한다. <출처 트렌드마이크로 블로그>>

앱은 여러 기법을 활용해 사용자에게 광고를 보낸다. 앱은 숨김 기능을 활용해 사용자가 설치 상태를 모른다. 사용자는 앱이 어디 있는지 확인은 못하고 알림만 받는 상태가 된다. 다른 앱이 악성 앱인 것처럼 보안 경고를 띄우기도 한다. “10기가바이트(GB) 파일이 낭비됐다”는 식으로 알림을 전한다. 이는 가짜 메시지다.

'사기 문자메시지 취약점'을 해결하기 위해 알림을 띄우기도 한다. 알림의 버튼을 누르면 '해결됐다(resolved)'는 메시지를 전달한다. 정상적으로 작동하는 앱처럼 보이지만 앱이 이 알림을 띄우면 사용자 세부 위치 정보를 원격 서버로 보낸다.

시스템 취약점에 대한 탐지결과인 것처럼 위장한 앱. <출처 트렌드마이크로 블로그>
<시스템 취약점에 대한 탐지결과인 것처럼 위장한 앱. <출처 트렌드마이크로 블로그>>

안드로이드 운용체계(OS), 맥 주소(MAC address), 사용권한, 사용통계, 기기 사양을 기록하는 등 사용자 모르게 악성 행위를 한다.

앱은 현재 구글 플레이에서 삭제됐다. 구글 플레이는 공인된 앱스토어지만 애플 앱스토어에 비해 심의 문턱이 낮아 악성 앱이 지속적으로 발견된다. 트렌드마이크로는 사용자의 앱 평가 등을 유심히 살펴봐야 한다고 조언한다.

트렌드마이크로는 “앱 페이지 리뷰와 댓글을 검토해 합법성과 불필요한 동작이 없는지 여부를 확인해야 한다”며 “다중 모바일 보안 솔루션에 투자해 취약점으로부터 보호를 받아야 한다”고 전했다.

변상근기자 sgbyun@etnews.com