[아이티데일리] 파이어아이(지사장 전수홍)는 유명 애플리케이션에 악성 애드웨어를 심어 안드로이드폰을 노리는 중국발 해킹 공격 2건을 포착했다고 5일 밝혔다.

파이어아이 측에 의하면 공격 그룹은 유명 애플리케이션을 리패키지하며 악성 로직을 심어 배포한 뒤, 이를 다운받은 스마트폰에 침입하는 수법을 이용했다. 사용자가 스마트폰에 악성 애플리케이션 다운받으면, 멀웨어(Malware)와 악성 페이로드(Payload)가 침입해 디바이스 관련 정보를 원격 서버에 업로드 한다. 그리고 나서, 특정 URL로부터 사용자의 스마트폰으로 ‘루트 마스터(Root Master)’라는 패키지명의 APK를 받아 루팅 작업을 진행한다.

루트 권한을 획득한 후에는, ‘rsh’라는 셸 스크립트(Shell Script)를 시행해 루트 백도어를 삽입하고, ‘install-recovery.sh’를 변경 불가능하게 만들어 결국 애플리케이션을 스마트폰에서 제거할 수 없도록 만든다. 이로써 공격그룹은 사용자의 스마트폰에 영속적으로 머물며 자유자재로 제어할 수 있게 된다.

파이어아이는 서버 인증서 정보를 분석한 결과 이번 공격의 배후에 중국 모바일 애플리케이션 광고 회사 ‘NGE xinyinhe’가 있다고 추정했다. NGE Xinyinhe의 애플리케이션 리패키징 도구와 해킹에 사용된 서버 인증서에 상응하는 키가 발견됐으며, 이는 이 회사가 공격의 배후에 있다는 결정적인 증거라는 설명이다.

사용자의 스마트폰에 침입한 애드웨어는 스마트폰에 특정 애플리케이션을 자동으로 다운받거나, 사용자가 APK 설치 버튼을 클릭하도록 유도한다. 이를 통해, NGE Xinyinhe는 그들이 광고하는 애플리케이션의 다운로드 수를 올리고, 광고 메시지를 계속적으로 제공하며 수익을 올린 것으로 알려졌다.

악성 애드웨어는 안드로이드 2.3.4.버전부터 5.1.1.버전에 걸쳐 영향을 미쳤으며, 이는 현재 이용되는 거의 모든 안드로이드 버전을 포함한다. 파이어아이 측은 아마존, 메모리 부스트, 클린 마스터, 플래시라이트 등 300개가 넘는 애플리케이션이 리패키지 돼 악성 애플리케이션으로 배포됐다고 설명했다.

이어 파이어아이는 이와 유사한 수법의 안드로이드 대상 악성 애드웨어 ‘Kemoge’를 추가로 발견했다고 밝혔다. ‘Kemoge’ 역시 유명 애플리케이션으로 리패키징 돼 사용자의 스마트폰에 침입한 후, 루팅 작업을 통해 영속적으로 스마트폰에 접근하고 제어하는 애드웨어이며, 몇몇 침해 사례에서는 루팅 과정에서 NGE xinyinhe 이용한 ‘루트 마스터’가 사용된 것으로 밝혀져, 두 악성 애드웨어는 상당히 유사한 수법을 이용한 것으로 보여진다.

파이어아이는 현재 ‘Kemoge’ 이용 침해 사례의 코드에 중국 간체자가 포함된 것과 침해 사례가 발견된 애플리케이션의 개발자 이름이 ‘Zhang Long’인 것을 근거로 이것이 중국발 공격이라고 추정한다고 전했다. 또한, 한국을 포함해 전 세계 20여 국가가 ‘Kemoge’ 침해 영향권 아래 있으며, 정부기관과 대기업이 주요 공격의 대상으로 포함됐다고 설명했다.

전수홍 파이어아이 코리아 지사장은 “안드로이드폰을 완전히 통제하는 악성 애드웨어들이 발견됨에 따라, 전 세계의 수많은 안드로이드폰이 위협에 노출된 상태”라며, “해킹 위협으로부터 모바일 기기를 지키기 위해서 공식 앱스토어가 아닌 채널을 통해 애플리케이션을 다운받는 것은 지양하고, 최신 버전의 안드로이드 OS를 이용해야 한다”고 당부했다.