[IT 알아보기]/보안 이슈

이호스트IDC, 악성코드 삽입 금융앱 발견...정상앱 위장주의!

이호스트ICT 2013. 8. 7. 17:37

하우리, “진짜로 오인해 정상앱으로 등록될 수 있어 더욱 주의해야”


[보안뉴스 권 준] 악성코드가 삽입된 금융앱에 안드로이드 취약점을 이용해 악성코드가 추가된 악성앱이 발견돼 주의가 요구된다.

 

                                       ▲ 그림 1. classes.dex가 추가된 패키지 파일 내부

 

 

보안전문기업 하우리(대표 김희천, www.hauri.co.kr)에 따르면 이번에 발견된 악성앱은 MasterKey(CVE-2013-4787) 취약점을 이용하여 특수하게 패키징된 악성앱으로 알려졌다.


기본적으로 안드로이드 설치파일(.apk)은 보통 ZIP 파일로 패키징 되는데 ROOT에 안드로이드 실행 파일인 Classes.dex 파일을 실행해 안드로이드에서 실행되는 구조로 되어 있다는 것. 그런데 이 취약점을 이용하게 되면 패키지 안에 Classes.dex 파일을 여러 개 삽입할 수 있으며, 악성코드가 추가된 Classes.dex 파일을 정상 파일로 오인하게 하여 안드로이드 환경에서 우선 실행되도록 동작되는 취약점이라는 게 하우리 측의 설명이다.

이 취약점이 위험하고 치명적인 이유는 삽입된 악성 DEX가 있음에도 정상앱에서 사용하는 인증정보 정보를 그대로 사용할 수 있기 때문이다. 예를 들어 은행앱에 DEX를 삽입하게 되면 악성코드가 들어있더라도 은행에서 공식적으로 배포한 앱으로 인식하기 때문이다. 이러한 취약점을 이용하여 구글 마켓에서 배포하게 되면 정상앱으로 등록되는 문제가 발생할 수 있다.

 

                       ▲ 그림 2. 악성앱 실행화면

 

현재 구글 마켓에서는 해당 취약점을 이용한 앱이 등록되지 않도록 차단되어 있는 것을 확인했으며, 구글 마켓을 통해 앱을 다운로드 받아 설치하는 것이 안전하다고 하우리 측은 밝혔다.


모바일 보안전문가들은 위와 같은 악성코드에 대응하기 위해선 모바일 백신의 최신버전 업데이트를 유지하고 실시간 감시기를 활성화해 감염이 되지 않도록 주의를 기울여야 한다는 지적이다. 이와 함께 안드로이드 취약점을 이용한 악성앱이 지속적으로 제작될 것으로 전망되고 있어 스마트폰 사용자는 URL 링크를 함부로 클릭하거나 블랙마켓의 접속을 자제해야 한다고 당부했다.


한편, 이번 악성앱에 대한 하우리의 상세분석보고서는 아래에서 확인할 수 있다.

http://www.hauri.co.kr/customer/security/mobile_view.html?intSeq=5898&page=1&keyfield=&key=&SelectPart=4

 

[권 준 기자(editor@boannews.com)]

 

출처 : 보안뉴스