posted by 알짜 정보 岳岩 2019.08.31 07:18

1억 번 넘게 다운로드 되어 사용자 층이 두터웠던 앱...악성 코드 발견돼
최근 버전으로 업데이트 했으나, 장비마다 다른 버전 설치될 수 있어 안심은 금물


[보안뉴스 문가용 기자] 안드로이드 플레이 스토어에서 1억 번 넘게 다운로드 된 애플리케이션에서 악성 코드가 발견됐다.

[이미지 = iclickart]


이 앱의 이름은 캠스캐너(CamScanner)로, 전화기 기반의 PDF 생성 프로그램이다. 광학적 문자 판독기(Optical Character Recognition, OCR) 기능을 사용자들에게 제공하는 정상 앱이다. 무료로 제공되며, 개발자는 앱 내 광고나 앱 내 결제를 통해 수익을 창출한다.

그런데 보안 업체 카스퍼스키(Kaspersky)가 최근 조사한 바에 따르면 캠스캐너의 최신 버전들 내 광고 라이브러리 패키지에서 악성 모듈이 존재해 있었다고 한다.

이 악성 모듈의 이름은 Trojan-Dropper.AndroidOS.Necro.n으로, 이전 중국산 스마트폰에 미리 설치되어 있던 멀웨어로서 발견된 바 있다. 이름 그대로 트로이목마의 드로퍼 기능을 하고 있으며, 따라서 다른 악성 모듈을 추출하고 실행시킬 수 있다.

공격자는 이 드로퍼를 사용해 원하는 아무 모듈을 피해자의 장비에 드롭시킬 수 있다. 이것은 공격자의 공격 목표 및 의도와 관련이 밀접한 것이다. 하지만 이번 캠스캐너 앱에서 발견된 악성 코드가 어떤 페이로드를 추가로 실행시켰는지는 아직 알 수 없다.

캠스캐너가 이상하다는 건 일부 사용자들이 먼저 알아차렸다. 이 사용자들은 플레이 스토어 리뷰 페이지에 캠스캐너가 수상한 방식으로 작동한다는 내용의 글을 올렸고, 이 때문에 카스퍼스키가 조사에 나선 것이다. 구글은 카스퍼스키의 분석과 확인 이후 해당 앱을 삭제했다.

카스퍼스키에 의하면 캠스캐너 개발자가 최근 업데이트를 통해 악성 코드를 삭제한 것처럼 보인다고 말했다. 그러나 캠스캐너는 장비에 따라 다양한 버전이 설치될 수 있으며, 따라서 아직 안심하고 캠스캐너를 설치하기에는 이른 시점이라고 설명했다.

“아무리 공식 스토어에 등록되어 있고, 유명하며, 수천만 명의 사용자가 긍정적인 리뷰를 남긴 앱이라고 해도 하룻밤 만에 악성 앱으로 둔갑할 수 있습니다. 사용자가 많고 적은 것은 악성 앱과 정상 앱을 구분 짓는 요소가 아닙니다. 사용자들은 이 점을 항상 염두에 두고 있어야 합니다. 업데이트 한 번이면 내가 믿어왔던 앱이 탈바꿈할 수 있다는 것을요.”

그러면서 카스퍼스키는 “앱이 수시로 바뀔 수 있다는 것을 기억하고, 이용자 개개인이 앱 사용 시 이상한 점을 커뮤니티(스토어의 리뷰 란 등)에 나눠서 누군가 전문적으로 조사를 할 수 있도록 하는 것이 큰 힘이 된다”고 덧붙였다. 보안뉴스

3줄 요약
1. 안드로이드 앱 스토어에서 1억 번 넘게 다운로드 된 캠스캐너 앱에서 악성 코드 나옴.
2. 트로이목마를 드롭시키는 기능을 가진 것으로 추가 공격 이어지게 해주는 코드였음.
3. 아무리 유명하고 사용자가 많아도 업데이트 한 번으로 변할 수 있음.

댓글을 달아 주세요