이셋코리아가가 오픈소스 기반의 안드로이드용 스파이웨어가 구글 플레이에서 최초로 발견돼 주의를 요한다고 23일 밝혔다.
이셋콜아에 따르면 ‘AhMyth’라는 오픈소스 스파이 도구를 기반으로 한 스파이웨어는 매우 독특한 발루치(Balochi, 파키스탄 발루치스탄 지역) 음악을 재생하는 인터넷 라디오 앱으로 위장하고 있었다. 이 악성 스파이 기능은 다른 앱에도 쉽게 연동될 수 있다.
AhMyth는 2017년 말에 공개됐으며 안드로이드용 이셋 모바일 시큐리티(ESET Mobile Security for Android)는 AhMyth 스파이웨어가 나타나기 전인 2017년 1월부터 AhMyth와 그 변종으로부터 스마트폰을 보호해왔다.
이후에도 이를 기반으로하는 다양한 악성 앱이 등장했으나 라디오 발루치(Radio Balouch)와 같이 안드로이드 공식 앱스토어인 구글 플레이에 등록된 것은 이번이 처음이다.
이셋이 이를 구글에 리포트한 후 구글의 보안팀은 이 악성 라디오 발루치 앱을 스토어에서 제거했으나 공격자들은 또다시 앱을 등록했고 이셋 역시 이를 다시 구글에 알려 해당 앱은 신속히 신속히 제거됐다.
이셋이 Android/Spy.Agent.AOX로 탐지한 라디오 발루치는 웹사이트, 인스타그램, 유튜브에서 홍보됐으며 구글 플레이에서 삭제된 뒤 다른 앱스토어에서만 이용할 수 있다.
이 앱은 발루치스탄 지역에 특화된 음악을 위한 모든 기능을 갖춘 인터넷 라디오 앱이지만 백그라운드에서 사용자를 감시하며 기기에 저장된 연락처를 훔치고 파일을 수집할 수 있다.
오픈소스 AhMyth 스파이 활동 도구에는 기능이 다양한 여러 가지 변형이 있으므로 라디오 발루치 앱 및 다른 AhMyth 기반 악성코드는 향후 또다른 악성 기능을 탑재하고 등장할 수 있어 주의를 요한다고 이셋코리아는 전했다.
이셋 연구원들에 따르면 구글 플레이 스토어에 악성 라디오 발루치 앱이 반복적으로 나타나는 것은 구글 보안팀과 안드로이드 사용자 모두에게 경종을 울리는 일이다.
루카스 스테판코 이셋 연구원은 ”구글이 보호 기능을 향상시키지 않는한 새로운 라디오 발루치 또는 AhMyth의 다른 변종이 다시 구글 플레이에 등장할 수 있다. 앱스토어에 앱을 등록할 때 공식 출처를 고수해야 하는 핵심 보안 요구사항은 여전히 유효하지만 그것만으로는 보안을 보장할 수 없다. 이셋은 사용자가 기기에 설치하려는 모든 앱을 면밀히 조사하고 평판 좋은 모바일 보안 솔루션을 사용할 것을 강력히 권고한다“고 강조했다. [파이낸셜신문=이광재 기자 ]
