스마트폰 모션 센서 데이터를 악용하는 악성 앱이 발견됐다. 움직임이 없으면 활동을 멈춰 탐지를 회피한다.
최근 트렌드마이크로는 구글 플레이스토어에서 아누비스(Anubis) 악성코드를 포함한 앱을 발견했다. 악성 앱은 배터리 절약 앱(BatterSaverMobi)과 통화 변환 앱(Currency Converter)으로 위장해 다운로드 5000회 이상을 기록했다. 현재는 앱 마켓에서 삭제된 상태다.
이번에 발견된 악성 앱은 보안 조치를 회피하기 위해 새로운 수법을 썼다. 사용자가 스마트폰을 사용하거나 이동하면 모션 센서에서 일정량 데이터가 계속 생성된다. 이와 달리 악성코드를 검출하기 위한 샌드박스 환경에는 모션 센서가 적용되지 않으므로 이러한 유형의 데이터가 존재하지 않는다. 공격자는 이 점을 악용해 관련 데이터 생성 여부만으로 환경을 구분하고 탐지를 회피할 수 있다.
이 악성 앱은 뱅킹 관련 악성코드인 아누비스를 포함한다. 뱅킹 관련 공격 대다수는 가짜 로그인 화면을 띄워 사용자 입력을 유도한다. 반면, 아누비스는 일반 앱으로 위장해 사용자가 접근권한을 부여하도록 유도, 키로깅이나 스크린샷 촬영으로 정보를 훔친다. 트렌드마이크로에 따르면 아누비스 최신 버전은 93개국 377개 금융 앱을 타깃으로 유포됐으며, 통화목록에도 접근 가능한 것으로 확인됐다.
장성민 한국트렌드마이크로 소장은 “모션 센서 데이터는 사람이 스마트폰을 갖고 조금만 움직여도 생성된다. 이번에 발견된 악성 앱은 샌드박스 환경을 구분하기 위해 이 점을 악용했다”면서 “구글 플레이스토어는 애플 앱스토어에 비해 여전히 앱 보안성 검증이 부족해 보인다. 앱 다운로드 시 사용자 주의가 필요하다”고 말했다.
팽동현기자 paing@etnews.com