모바일 스캐너 애플리케이션(앱) ‘캠스캐너(CamScanner)’에서 악성코드가 발견됐다. 이 프로그램은 구글플레이에서 다운로드 1억회 이상을 기록한 인기 앱이다. 구글은 앱 다운로드를 막았지만, 이미 설치한 사용자들이 많아 수동 삭제가 필요한 상황이다.
러시아 IT 보안업체 카스퍼스키는 지난 27일(현지 시각) 캠스캐너 무료 버전에서 트로이의 목마 형태의 악성코드가 발견됐다고 밝혔다. 이 악성코드는 해커가 다른 악성 프로그램을 설치하거나 기존 악성코드를 최신 버전으로 대체하기 위한 목적으로 쓰인다. 카스퍼스키는 "과거 중국산 스마트폰에 기본으로 설치된 앱에서도 발견됐던 종류"라며 "사용자가 감염된 캠스캐너를 다운받으면 자극적인 광고나 유료 구독 요청이 뜨고 금전을 탈취당할 가능성도 있다"고 설명했다.
캠스캐너는 휴대전화로 사진을 찍으면 스캔한 것처럼 만들어주는 앱이다. 무료로 사용할 수 있어 모바일 스캐너 시장 ‘표준’자리에 올랐다.
구글은 감염된 캠스캐너 앱을 즉시 삭제했다. 앱 개발자는 악성코드가 없는 정상 버전을 다시 올린 상태다. 그러나 최신 버전을 사용하지 않는 사용자들도 많아 옛 버전을 마음 놓고 쓸 수 없는 형편이다. 카스퍼스키는 "구글 플레이와 같은 공식적인 앱 스토어도 100% 안전하다고 할 수 없다"며 "믿을 수 있는 모바일 용 안티바이러스 프로그램들을 설치할 필요가 있다"고 했다.
출처 : http://news.chosun.com/site/data/html_dir/2019/08/29/2019082901025.html
구글 플레이 스토어에서 1억 회 이상의 다운로드를 기록한 인기 있는 모바일 PDF 제작 앱, CamScanner의 무료 버전에서 악성코드가 발견됐습니다.
공격자들은 원격으로 해당 앱을 사용하는 사용자의 안드로이드 기기 및 저장된 데이터에 하이잭할 수 있는 것으로 나타났습니다. 현재 구글은 공식 플레이 스토어에서 이 앱을 제거했습니다. 사용 중인 안드로이드 기기에 해당 앱이 설치되어 있을 경우 안전을 위해 즉시 제거하시기 바랍니다.
연구원들은 CamScanner 앱이 최근 악성으로 변질되었다고 밝혔습니다. 앱 내 숨겨진 트로이목마 드로퍼 모듈은 원격 공격자들이 은밀히 기기에 악성 프로그램을 다운로드 및 설치하도록 허용할 수 있었습니다.
이 악성 모듈은 CamScanner 안드로이드 앱의 코드 내 존재하는 것이 아니라, 이 앱에 최근 도입된 타사 광고 라이브러리의 일부였습니다.
이 문제는 지난 몇 달 동안 많은 CamScanner 사용자들이 의심스러운 행동을 포착한 후 구글 플레이 스토어에 부정적인 리뷰를 남기면서 알려졌습니다.
해당 악성 모듈 분석 결과, 이 컴포넌트는 이전에 중국 스마트폰에 선탑재 된 일부 앱에서 발견된 것과 동일하다는 것이 밝혀졌습니다.
이 모듈은 앱의 리소스에 포함된 암호화된 파일에서 또 다른 악성 모듈을 추출하고 실행합니다.
그리고 피해자의 모바일에서 악성 광고 노출하고 모바일 계정을 유료 서비스에 가입 시켜 돈을 탈취하는 등의 방법으로 감염된 기기로부터 이익을 얻습니다.
연구원들은 해당 연구 결과를 구글에 신고했으며, 구글은 즉시 CamScanner 앱을 플레이 스토어에서 제거했습니다. 그리고 CamScanner의 최신 업데이트 버전에서 해당 악성코드가 제거된 것으로 보이나, 해당 앱은 기기마다 버전이 달라 일부는 악성코드를 포함할 수 있다고 조언했습니다.
CamScanner 유료 버전은 타사 광고 라이브러리를 포함하지 않기 때문에, 악성 모듈이 없으며 구글 플레이스토어에서 다운로드할 수 있습니다.
구글은 지난 몇 년 동안 구글 플레이스토어에서 악성 앱을 제거하기 위해 노력을 기울였으며 신규 앱에 대한 더욱 엄격한 악성코드 확인 과정을 추가했습니다. 하지만 그럼에도 불구하고 정식 앱이 하루아침에 악성 앱으로 돌변해 수백만 사용자를 노렸습니다. 이를 통해 1억 건의 다운로드를 기록하고 긍정적인 리뷰가 수백만 건이 등록된 평판이 좋은 공식 앱도 하룻밤 사이 악성 앱으로 돌변할 수 있다는 사실을 알 수 있었습니다.
현재 알약M에서는 해당 악성코드에 대해 ‘Trojan.Android.Dropper’으로 탐지하고 있습니다.
출처: https://blog.alyac.co.kr/2495 [이스트시큐리티 알약 블로그]
'기타 소식' 카테고리의 다른 글
[리플릿] 한양대 도서관(백남학술정보관) 이용안내 (0) | 2019.09.09 |
---|---|
[팸플릿] 외국법률번역DB / 국회전자도서관, 국회법률도서관 (0) | 2019.09.09 |
차단 소프트웨어: PrintIsolationHost.exe (0) | 2019.09.05 |
원격 데스크톱(RDP Remote Desktop) 접속 로그 리스트 삭제 (0) | 2019.09.04 |
시작 프로그램: HNetCom.Agent.exe (1) | 2019.07.03 |