본문 바로가기

벌새::Security

악성앱으로 분류된 "Stream Video Downloader" Chrome 확장 프로그램 삭제 (2021.2.6)

728x90
반응형

Chrome 웹 브라우저를 통해 추가로 설치할 수 있는 확장 프로그램(chrome://extensions/)은 다양한 기능을 제공하여 웹 서비스 이용 시 많은 편의성을 제공해 줄 수 있습니다.

 

"Flash Video Downloader" Chrome 확장 프로그램이 악성코드? (2018.6.17)

 

멀웨어가 포함된 Free VPN Chrome 확장 프로그램 삭제 안내 (2020.3.7)

 

하지만 반대로 제3자가 제공하는 확장 프로그램 속에는 프로그램 본연의 기능 이외에 숨어있는 악의적 기능이 포함되어 있는 문제로 Chrome 웹 스토어에 등록되어 배포되다가 삭제 처리되는 경우도 있습니다.

 

<Avast Threat Labs> Backdoored Browser Extensions Hid Malicious Traffic in Analytics Requests (2021.2.3)

 

특히 최근에 Avast 보안 업체를 통해 공개된 MS Edge, Chrome 확장 프로그램 중 CacheFlow라는 진화된 기술을 통해 설치된 확장 프로그램이 은밀하게 검색 결과 가로채기, 정보 수집 등의 악의적 기능을 수행하는 다수의 확장 프로그램이 있다는 사실이 뒤늦게 밝혀지기도 하고 있습니다.

 

"Stream Video Downloader" 확장 프로그램에 멀웨어가 포함되었다는 메시지

개인적으로 2~3년 전쯤에 설치한 것으로 기억되던 "Stream Video Downloader" 확장 프로그램(ID : imkngaibigegepnlckfcbecjoilcjbhf)은 접속한 웹 사이트에서 재생되는 영상, 사운드 파일을 다운로드할 수 있도록 제공하는 앱이었는데, 이번에 확인을 해보니 "확장 프로그램에 멀웨어가 포함되어 있습니다."라는 경고 메시지가 표시되어 자동으로 비활성화된 것을 알 수 있었습니다.

 

Chrome 웹 스토어 : "Stream Video Downloader" 확장 프로그램

해당 앱을 Chrome 웹 스토어에서 다시 검색을 해보면 삭제 처리되어 서버에서 찾을 수 없다는 것을 알 수 있었습니다.

 

이에 "StreamStream Video Downloader" 확장 프로그램의 관련 파일(C:\Users\%UserName%\AppData\Local\Google\Chrome\User Data\Default\Extensions\imkngaibigegepnlckfcbecjoilcjbhf)을 찾아서 VirusTotal 검사 서비스를 이용하여 조회를 해보면 현재까지는 모든 제품에서 탐지가 발생하는 것은 아니였습니다.

 

기존에 "Flash Video Downloader" 확장 프로그램의 경우에는 ESET 백신 프로그램에서 탐지가 발생하여 Chrome 웹 스토어에서 제거되지 않아도 선제적으로 이용하지 않았던 것과는 다른 방식으로 처리가 되었습니다.

 

manifest.json 파일 코드

어떤 부분이 문제가 될지에 대해 파일을 열어서 확인하던 과정에서 manifest.json 파일 (SHA-1 : 249c94fdcb57d2ae821ffc88891d99895aa8b542)에서 Google 애널리틱스(Analytics) 서비스 외에 "static.trckpath.com" 서버로 통신을 할 수 있었던 문제가 정책 위반이 아니였을까 싶습니다.

 

"Stream Video Downloader" 확장 프로그램 삭제

결과적으로 구글(Google)에서는 "Stream Video Downloader" 확장 프로그램을 정책 위반으로 보고 Chrome 웹 스토어에서 삭제하였으며, 해당 확장 프로그램이 설치된 사용자는 삭제를 통해 더 이상 해당 확장 프로그램 사용을 하지 않는 것이 유일한 방법입니다.

 

기존부터 보안 이슈가 되는 확장 프로그램 중 다운로더(Downloader) 프로그램 비중이 은근히 높다는 점에서 앞으로는 인기있는 확장 프로그램이라도 되도록이면 사용하지 않도록 하는 것이 좋을 것 같으며, 만약 사용할 필요가 있다면 가상 환경에서 1회용으로 설치하여 사용 후 삭제하는 것이 좋지 않을까 싶습니다.

728x90
반응형