정상적인 앱처럼 보이지만 결코 정상적이지 않은 앱들이 모바일 생태계에 자꾸만 파고든다. 대표적인 것으로 플리스웨어가 있다. 사용자들을 유료 서비스에 몰래 가입시켜 돈을 빼돌리는 앱이다. 최근 1~2년 동안 이런 류의 멀웨어가 왕성한 활동력을 보이고 있다.

[보안뉴스 문가용 기자] 일부 모바일 트로이목마들과 피해자 몰래 값비싼 유료 서비스에 피해자를 가입시켜 돈을 갉아먹는 모바일 멀웨어들이 구글 플레이 스토어의 보안망을 뚫고 계속해서 등록되는 중이다. 후자의 경우 최근 플리스웨어(fleeceware)라는 이름을 얻기도 했다.

[보안뉴스 / 5.10.] 안드로이드 사용자들을 유료 서비스에 가입시키는 플리스웨어에 유의

[이미지 = utoimage]

보안 업체 카스퍼스키(Kaspersky)에 따르면 플리스웨어는 주로 의료 건강 앱, 사진 편집 앱, 인기 높은 게임 관련 앱 등의 모습으로 숨어서 구글 플레이 스토어에 등록된다고 한다. 피해자를 각종 유료 서비스에 가입시키는 특징만 뺀다면 정상적인 앱들이다.

이런 앱들의 특징은 대부분 사용자의 알림 및 메시지 기능에 접근할 수 있도록 권한을 요청한다는 것이고, 사용자가 앱 설치 시 이러한 권한을 허용한다면, 그 뒤로 사용자에게 오는 확인 문자나 이중 인증 암호 문자를 가로챌 수 있게 된다. 이를 통해 사용자 몰래 구독 서비스에 가입할 수 있게 된다.

카스퍼스키는 이런 식으로 구글 사용자들에게 피해를 빈번하게 주는 멀웨어 4개를 꼽았다.
1) 조커(Jocker / Joker)
2) 몹오케이(MobOk)
3) 그리프트호스(GriftHorse.l)
4) 베섭(Vesub)
카스퍼스키는 안드로이드 사용자들 중 70%가 이러한 플리스웨어와 조우한 적이 있을 것이라고 보고 있다.

카스퍼스키는 위 4개의 멀웨어 중 몹오케이가 가장 활발히 피해자들을 양산하고 있다고 경고한다. 몹오케이는 구글 플레이를 통해 유포되기도 하지만 최근 들어서는 또 다른 모바일 트로이목마 중 하나인 트리아다(Triada)의 페이로드로서 퍼지는 전략을 선택하기도 했다. 당연하지만 서드파티 모바일 앱 스토어에도 숨어 들어 피해자들을 만들어내고 있기도 하다.

몹오케이는 사용자가 볼 수 없는 창을 하나 열고, 그 창을 통해 구독 신청 페이지를 연다. 구독 신청을 하면 해당 서비스에서 사용자 확인 문자를 보내는데, 몹오케이는 설치 시점에 이미 그러한 권한을 사용자로부터 획득했기 때문에 이 문자를 중간에 가로챌 수 있게 된다. 여기까지는 다른 플리스웨어와 비슷한데, 한 가지 다른 점이 있다면 캡챠(CAPTCHA) 퍼즐을 풀 수 있다는 것이다. 주로 러시아, 인도, 인도네시아에서 몹오케이의 피해자들이 발견된다.

조커는 위 네 가지 위협 중 가장 유명한 멀웨어로, 구글 플레이에 빈번하게 침투해 메신저 앱, 혈압 모니터링 앱, 문서 스캔 앱 등 다양한 종류의 앱으로 숨어서 피해자들을 기다린다. 조커는 꽤나 오래 전부터 활동을 해 왔던 멀웨어이며, 아무리 제거하고 솎아내도 어느 새 다시 나타나는 것으로 악명이 높다.

카스퍼스키의 설명에 의하면 조커의 가장 주된 수법은 정상 앱을 구글 플레이 스토어에서 다운로드 받은 후, 그 앱에다 조커의 악성 코드를 주입한 후 다른 개발자 이름으로 그 앱을 업로드 하는 것이라고 한다. 악성 코드는 구글이 앱을 검사하는 동안에는 발동되지 않으며, 사용자의 장비에 설치된 이후에야 기능을 발휘하기 시작한다. 몹오케이처럼 조커도 사용자들에게 날아오는 문자 메시지를 가로채며, 이를 통해 유료 서비스에 피해자를 가입시킨다. 피해자들은 주로 사우디아라비아, 폴란드, 독일에 분포되어 있다.

베섭은 주로 비공식 앱 스토어를 통해 퍼지는 플리스웨어다. 인기 높고 유명한 게임 앱으로 위장되어 있는 경우가 대부분이며, 가짜 앱들에는 베섭의 악성 기능 외에 다른 정상적인 기능은 하나도 없다. 베섭이 사용자를 비싼 유료 서비스에 가입시키는 동안 사용자들이 보는 건 앱이 로딩되고 있다는 알림창 뿐이다. 사용자가 설치 시에 알림 문자 메시지에 접근해도 된다고 권한을 허락하지 않으면 악성 기능도 발동하지 않는다. 피해자는 주로 이집트, 태국, 말레이시아에 몰려 있다.

그리프트호스는 위이 3가지 멀웨어와는 조금 다른 특성을 가지고 있다. 멀웨어 개발자가 직접 개발한 유료 서비스에만 피해자를 가입시킨다는 것이 바로 그 차별점이다. 예를 들어 유료 체중 감량 프로그램에 가입시키곤 하는데, 피해자들은 이런 서비스에 기꺼이 가입한다 하더라도 그것이 매달 자동으로 결제된다는 사실을 간과한다고 한다. 공격자가 노리는 것이 바로 이 허점인 것으로 보인다고 카스퍼스키는 설명한다.

보안 업체 룩아웃(Lookout)의 첩보 분석가인 이오아니스 가스파리스(Ioannis Gasparis)는 카스퍼스키의 이러한 보고서를 보고 “조커 멀웨어는 상당히 오래된 멀웨어이지만 아직도 여러 안드로이드 사용자를 위협하고 있다”며 “특히 지난 1~2년 동안 조커를 비롯한 각종 플리스웨어의 활동량이 늘어났다”고 설명을 추가한다.

보안 업체 짐페리움(Zimperium)의 리차드 멜릭(Richard Melick)은 “일반 소비자들만 조심해야 하는 위협이 아니”라는 점을 강조한다. “이제 누구나 자기 장비를 가져와 회사 네트워크에 연결해 일을 하는 때입니다. 일반 소비자 개개인이 회사의 주요 데이터로 통하게 하는 통로가 되고 있다는 겁니다. 그러므로 조커와 같은 멀웨어를 간과해서는 안 됩니다. 기업 차원에서 대응하는 것이 안전합니다.”

3줄 요약
1. 사용자를 몰래 유료 구독 서비스에 가입시키는 멀웨어들을 플리스웨어라고 함.
2. 최근 1~2년 동안 플리스웨어의 활동이 왕성해졌음.
3. 조커, 몹오케이, 그리프트호스, 베섭이 최근에는 특히 유명함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>