울지않는벌새 : Security, Movie & Society

안드로이드 바이러스 경고창을 통한 보안앱 설치 유도 주의 (2015.2.14)

벌새::Security

2014년 초부터 스마트폰 사용자가 인터넷 접속 과정에서 한글로 표시된 다양한 메시지 창을 통해 특정 애플리케이션 설치를 유도하는 모바일 광고에 심심찮게 노출되는 문제가 있었습니다.

특히 매우 정교한 한글 메시지로 인하여 일부 사람들은 제공되는 애플리케이션 설치를 통해 시간 낭비를 하는 경우가 있는 것으로 보입니다.

실제 인터넷 검색을 통해 특정 웹 사이트 접속 과정에서 표시되는 경고창을 확인해보면 "웹사이트들을 둘러보는 동안 귀하의 안드로이드 디바이스가 바이러스에 노출될 수 있습니다. 위협이 될 수 있는 요소들을 보려면 '확인'을 탭하십시오."와 같은 내용으로 상당한 불안감을 유발하고 있습니다.

이후 메시지에서는 "귀하의 안드로이드 디바이스가 감염될 수 있습니다! 경고! 귀하의 개인 사진, 페이스북 및 그밖의 암호, 그리고 신용카드 정보가 누설되었을 수 있습니다. "바이러스 제거하기"를 클릭해서 최신 안드로이드 보안 앱을 다운받아 즉시 전화를 스캔하십시오!"라는 허위 내용을 통해 특정 보안앱 다운로드를 유도하고 있습니다.

이를 통해 "바이러스 제거하기" 버튼을 클릭할 경우 특정 광고 서버를 경유하여 Google Play와 같은 합법적인 서비스에 등록된 보안앱 다운로드를 유도할 수 있으며, 악용될 경우에는 외부 서버에서 APK 파일을 다운로드할 수도 있습니다.

 

위와 같이 일반적으로 사용자가 모바일을 이용하여 인터넷을 이용하는 과정에서 허위 메시지를 통한 애플리케이션 다운로드를 유도하는 행위가 있는 반면 최근에는 Google Play 서비스에 등록된 애플리케이션을 통해 유사한 광고 행위를 하던 사례가 이슈가 된 적이 있습니다.

이번에 소개할 악성앱 유포의 경우에는 다음과 같은 3종의 애플리케이션을 Google Play에 등록하여 500만~1,000만 다운로드를 유도하였습니다.

  1. Durak card game (com.cardgame.durak) - avast! : Android:AdwareLocker-D [Trj]
  2. IQ test (com.iwolt.iqtest) - Kaspersky : not-a-virus:HEUR:Adware.AndroidOS.MobiDash.a
  3. history app (com.konka.russian.history) - avast! : Android:AdwareLocker-C [Trj]

사용자가 Google Play에서 다운로드한 게임, IQ 테스트와 같은 애플리케이션이 설치된 후에는 광고 행위가 자동으로 실행되는 것이 아니라 스마트폰 재부팅 또는 최대 30일 동안은 정상적으로 기능을 제공하다가 특정 시간이 경과하면 화면 전체를 다음과 같은 경고창을 생성합니다.

해당 경고 메시지의 경우에도 사용자의 스마트폰 기기명을 기반으로 보안 위협이 발생하여 개인 사진, 비밀번호가 유출될 수 있다는 허위 정보를 표시하거나 밧데리 업데이트 창을 생성하는 수법으로 특정 애플리케이션 설치를 유도하였습니다.

 

위와 같은 사례처럼 단순히 사용자가 특정 웹 사이트 접속 과정에서 경고창이 뜨는 광고 방식이 있는 반면 정상적인 애플리케이션으로 위장한 악성앱이 설치된 후 상당 시간이 경과할 경우 유사한 광고창이 생성되는 방식도 존재합니다.

 

그러므로 Google Play 서비스에서 애플리케이션 다운로드시에는 제품에 대한 평가를 반드시 확인하여 평판 정보를 확인하는 습관도 필요하며, 웹 사이트 접속 행위없이 경고창이 뜨는 경우에는 최근(1개월 이내) 설치된 애플리케이션을 중심으로 문제를 유발하는 앱을 찾아 삭제하시기 바랍니다.