2016.06.23

"안드로이드 맬웨어 '갓리스' 확산 중··· 비밀 앱 설치도 가능" 트렌드마이크로

Brian Cheon | CIO KR
안드로이드 사용자에게 비상등이 켜졌다. 합법적으로 보이는 앱 안에서 사용자 기기를 '루팅'해 비밀 앱을 설치할 권한을 확보하는 신종 맬웨어가 나타났다.

트렌드마이크로가 블로그 포스트를 통해 밝힌 바에 따르면, 갓리스(Godless)라고 명명된 이 이 맬웨어는 여러 앱 스토어에서 발견된다. 심지어는 구글 플레이에도 등록돼 있다. 안드로이드 5.1(롤리팝) 또는 그 이전 버전의 안드로이드 기기를 겨냥한다. 오늘날 안드로이드 기기의 90% 이상이 해당되는 셈이다.

갓리스는 앱 내에 숨어 있다가 취약점을 활용해 OS를 루트(root)한다. 이를 통해 기기에 대한 관리자 권한을 획득함으로써 비인가 앱을 사용자 몰래 설치할 수 있게 되는 것이다.

트렌드마이크로는 갓리스가 다양한 취약점을 활용한다며 심지어 스파이웨어를 설치할 수도 있다고 전했다.

또 최신 변종의 경우 구글 플레이와 같은 앱 스토어에서 보안 체크를 우회하는 재주도 갖췄으며, 루팅 이후에는 삭제하기가 몹시 까다로와진다고 이 보안기업은 덧붙였다.

현재 구글 플레이 내에서 이 악성 코드를 내장한 앱은 다양한 것으로 분석됐다. 트렌드마이크로는 "플래시 라이트나 와이파이 앱과 같은 유틸리티 앱에서부터 인기 게임 복사판에 이르기까지 다양하게 분포돼 있다"라고 전했다.

또 악성 코드를 내장하지 않은 앱 중에서도 문제의 앱들과 동일 개발자 인증을 공유하는 제품들이 있는 것으로 확인됐다. 이 경우 초기에는 깨끗한 앱이었을지라도 향후 악성 버전으로 자동 업그레이드될 우려가 있다.


갓리스 맬웨어에 감염된 기기 분포. 인도 및 동남아 지역에 특히 집중돼 있다.

트렌드마이크로는 지금껏 85만 개의 기기가 감염된 것으로 추산하며 이중 절반 가까이가 인도와 동남아시아 지역에 소재하고 있다고 밝혔다.

트렌드마이크로는 "앱을 다운로드할 때 개발자 평가를 확인할 필요가 있다. 배경 정보가 없는 미지의 개발자라면 이러한 악성 앱의 출처일 가능성이 높다"라고 경고했다.

또 구글 플레이나 아마존과 같은 비교적 신뢰할 수 있는 앱 스토어를 이용해야 하며 모바일 보안 소프트웨어를 활용할 필요가 있다고 이 회사는 덧붙였다. ciokr@idg.co.kr 



2016.06.23

"안드로이드 맬웨어 '갓리스' 확산 중··· 비밀 앱 설치도 가능" 트렌드마이크로

Brian Cheon | CIO KR
안드로이드 사용자에게 비상등이 켜졌다. 합법적으로 보이는 앱 안에서 사용자 기기를 '루팅'해 비밀 앱을 설치할 권한을 확보하는 신종 맬웨어가 나타났다.

트렌드마이크로가 블로그 포스트를 통해 밝힌 바에 따르면, 갓리스(Godless)라고 명명된 이 이 맬웨어는 여러 앱 스토어에서 발견된다. 심지어는 구글 플레이에도 등록돼 있다. 안드로이드 5.1(롤리팝) 또는 그 이전 버전의 안드로이드 기기를 겨냥한다. 오늘날 안드로이드 기기의 90% 이상이 해당되는 셈이다.

갓리스는 앱 내에 숨어 있다가 취약점을 활용해 OS를 루트(root)한다. 이를 통해 기기에 대한 관리자 권한을 획득함으로써 비인가 앱을 사용자 몰래 설치할 수 있게 되는 것이다.

트렌드마이크로는 갓리스가 다양한 취약점을 활용한다며 심지어 스파이웨어를 설치할 수도 있다고 전했다.

또 최신 변종의 경우 구글 플레이와 같은 앱 스토어에서 보안 체크를 우회하는 재주도 갖췄으며, 루팅 이후에는 삭제하기가 몹시 까다로와진다고 이 보안기업은 덧붙였다.

현재 구글 플레이 내에서 이 악성 코드를 내장한 앱은 다양한 것으로 분석됐다. 트렌드마이크로는 "플래시 라이트나 와이파이 앱과 같은 유틸리티 앱에서부터 인기 게임 복사판에 이르기까지 다양하게 분포돼 있다"라고 전했다.

또 악성 코드를 내장하지 않은 앱 중에서도 문제의 앱들과 동일 개발자 인증을 공유하는 제품들이 있는 것으로 확인됐다. 이 경우 초기에는 깨끗한 앱이었을지라도 향후 악성 버전으로 자동 업그레이드될 우려가 있다.


갓리스 맬웨어에 감염된 기기 분포. 인도 및 동남아 지역에 특히 집중돼 있다.

트렌드마이크로는 지금껏 85만 개의 기기가 감염된 것으로 추산하며 이중 절반 가까이가 인도와 동남아시아 지역에 소재하고 있다고 밝혔다.

트렌드마이크로는 "앱을 다운로드할 때 개발자 평가를 확인할 필요가 있다. 배경 정보가 없는 미지의 개발자라면 이러한 악성 앱의 출처일 가능성이 높다"라고 경고했다.

또 구글 플레이나 아마존과 같은 비교적 신뢰할 수 있는 앱 스토어를 이용해야 하며 모바일 보안 소프트웨어를 활용할 필요가 있다고 이 회사는 덧붙였다. ciokr@idg.co.kr 

X