[한국정경신문=윤성균 기자] 정보 탈취를 넘어 기기를 실시간 원격 제어하는 안드로이드 악성코드가 유포되고 있다.
정보 탈취를 넘어 기기를 실시간 원격 제어하는 안드로이드 악성코드가 유포되고 있다. (사진=한국정경신문 DB)
25일 보안기업 그룹-IB에 따르면 악성코드 ‘원더랜드’는 정상 앱으로 위장한 ‘드로퍼’를 통해 침투한다.
원더랜드는 설치 즉시 악성 행위를 시작하는 트로이목마 APK(앱 파일)와 달리 정상 앱처럼 작동한다. 악성 페이로드를 이용자 환경에서 실행해 초기 보안 점검과 정적 분석을 피한다.
원더랜드의 핵심 특징은 양방향 통신이다. 공격자는 실시간으로 문자메시지(SMS)와 일회용 비밀번호 생성기(OTP) 탈취, USSD(이동통신사 서버와 정보를 주고받는 기술) 명령 실행, 연락처 수집, 알림 숨김 등을 수행한다. 이에 금융 인증을 우회하고 자금을 탈취할 수 있다. 감염 기기는 추가 공격 거점으로도 활용된다.
공격자는 텔레그램을 핵심 인프라로 사용한다. 사용자가 권한을 허용하면 전화번호로 텔레그램 계정을 탈취하고 해당 계정의 대화목록과 연락처를 대상으로 악성 앱을 재유표한다. 탈취된 텔레그램 계정은 다크웹에서 거래되고 있다.
최근 넥서스루트, 프로그블라이트 등 유사 악성코드도 확산 중이다.
보안 전문가는 “안드로이드 해킹이 완전히 플랫폼화된 범죄 비즈니스로 전환됐다”고 경고했다.