안드로이드 악성코드 '네크로(Necro)'가 다시 모습을 드러내며 구글 플레이 스토어를 통해 약 1,100만 대의 안드로이드 기기를 감염시켰다. 이번 공격은 합법적인 앱과 인기 앱의 수정 버전, 그리고 악성 소프트웨어 개발 키트(SDK)가 통합된 게임 모드 등을 통해 이루어져 전 세계 안드로이드 사용자들에게 큰 위협을 가했다.
◆구글 플레이 통한 Necro의 침투 경로
신종 Necro 트로이목마는 SDK 공급망 공격을 통해 합법적인 앱에 악성 SDK가 통합되면서 사용자 기기에 설치됐다. 이러한 SDK는 다양한 페이로드를 다운로드하고 실행하여 악성 플러그인을 활성화했으며, 사용자가 앱을 설치하자마자 기기를 감염시켰다.
보안 기업 카스퍼스키는 구글 플레이에서 Necro 로더를 포함한 두 가지 인기 앱을 발견했다고 밝혔다. 첫 번째 앱은 'Benqu'에서 개발한 사진 편집 및 뷰티 앱인 Wuta Camera로, 1,000만 건 이상의 다운로드를 기록한 유명한 앱이다. 이 앱은 버전 6.3.2.148부터 Necro 트로이 목마에 감염되었고, 버전 6.3.6.148까지 포함되어 있었다. 이후 버전 6.3.7.138에서 악성코드가 제거되었지만, 이전 버전을 통해 기기에 설치된 페이로드는 여전히 사용자에게 위험을 가하고 있다.
두 번째로 Necro에 감염된 앱은 'WA message recover-wamr'에서 개발한 Max Browser로, 100만 건 이상의 다운로드를 기록했다. 카스퍼스키의 보고 이후 구글에서 해당 앱을 삭제했지만, 최신 버전(1.2.0)도 여전히 Necro를 포함하고 있어 사용자들은 즉시 해당 앱을 삭제할 것을 권장하고 있다.
◆Necro 트로이목마의 작동 방식
Necro는 기기에 설치된 후 여러 악성 플러그인을 활성화하며 각 플러그인은 다양한 공격과 사기 행위를 수행하도록 설계되어 있다:
-애드웨어 모듈: 보이지 않는 WebView 창을 이용해 광고 링크를 로드하며 공격자에게 수익을 창출한다(Island 플러그인, Cube SDK).
-JavaScript 및 DEX 파일 실행: 임의의 JavaScript와 DEX 파일을 다운로드하고 실행해 감염된 기기를 추가 공격에 활용한다(Happy SDK, Jar SDK).
-구독 사기 도구: 피해자의 동의 없이 유료 서비스에 가입시키는 모듈을 포함하고 있다(Web 플러그인, Happy SDK, Tap 플러그인).
-프록시 메커니즘: NProxy 플러그인을 통해 감염된 기기를 프록시로 전환하여 공격자의 악성 트래픽을 우회시키고 추적을 어렵게 만든다.
해당 두 앱의 감염 원인은 광고 SDK인 Coral SDK로 밝혀졌다. Coral SDK는 악성 활동을 감추기 위해 복잡한 난독화 기법을 사용했으며, 이미지 스테가노그래피를 통해 두 번째 단계의 페이로드인 'shellPlugin'을 무해한 PNG 이미지로 위장하여 다운로드했다. 이러한 고도화된 기법은 Necro가 수백만 대의 기기를 감염시키는 동안 탐지를 회피할 수 있게 했다.
구글 플레이를 통해 감염된 사례 외에도 Necro는 공식 앱 스토어 외부의 안드로이드 사용자들을 대상으로 공격을 이어갔다. 주로 비공식 웹사이트를 통해 유포되는 인기 앱의 수정 버전을 통해 감염되었는데, 카스퍼스키는 다음과 같은 앱에서 Necro의 감염을 발견했다고 밝혔다:
-GBWhatsApp 및 FMWhatsApp: 프라이버시 제어 및 파일 공유 기능을 강화한 비공식 WhatsApp 수정 버전.
-Spotify Plus: 무료로 광고 없는 프리미엄 서비스를 제공한다고 약속한 Spotify의 수정 버전.
-게임 모드: Minecraft, Stumble Guys, Car Parking Multiplayer, Melon Sandbox와 같은 인기 게임의 모드도 Necro를 포함하고 있었다.
이러한 모든 경우에서 Necro의 악성 행동은 동일했다. 백그라운드에서 광고를 표시해 공격자에게 부당한 수익을 창출하고, 사용자 동의 없이 앱과 APK를 설치하며, 보이지 않는 WebView를 통해 유료 서비스에 접속했다.
카스퍼스키의 보고 이후, 구글은 해당 문제를 인지하고 조사 중이라고 밝혔다. Wuta Camera와 Max Browser가 구글 플레이에서 즉시 삭제되었지만, 여전히 감염된 앱을 제거하거나 업데이트하지 않은 많은 사용자가 위험에 노출되어 있다.
사이버 보안 전문가들은 안드로이드 사용자가 항상 신뢰할 수 있는 출처에서 앱을 다운로드하고 소프트웨어를 최신 상태로 유지할 것을 강조했다. Necro 위협에 대응하기 위한 몇 가지 예방 조치는 다음과 같다.
-감염된 앱 제거: Wuta Camera를 다운로드한 경우 최신 버전(6.3.7.138 이상)으로 업데이트하고, Max Browser 사용자는 즉시 앱을 삭제해야 한다.
-수정된 앱에 주의: 비공식 웹사이트에서 수정된 앱을 다운로드하지 말아야 한다. Necro와 같은 악성코드는 이러한 앱에 숨겨져 있을 수 있다.
-신뢰할 수 있는 보안 소프트웨어 사용: 정기적으로 기기를 스캔할 수 있는 신뢰할 수 있는 안티바이러스 프로그램을 설치해야 한다.
-앱 권한 확인: 설치된 앱에 부여된 권한을 정기적으로 검토하고 불필요한 권한을 요청하는 앱은 삭제하는 것이 좋다.
카스퍼스키 및 다른 보안 전문가에 따르면, Necro의 악성 SDK 및 이미지 스테가노그래피 사용은 안드로이드 기기에 대한 악성코드 위협이 점점 더 정교해지고 있음을 보여준다. 특히, 합법적인 앱을 통해 악성코드가 침투한 사례는 앱 개발자들이 서드파티 SDK를 통합할 때 철저한 보안 검사를 수행해야 할 필요성이 있다는 말해준다.
또한, 사용자는 비공식 앱과 수정 버전에 대한 경계를 높여야 한다. 구글 플레이의 보안 프로토콜을 우회하는 경우가 많기 때문이다. 정기적인 업데이트, 의심스러운 앱 동작에 대한 경계, 그리고 신뢰할 수 있는 보안 도구의 사용은 Necro와 같은 악성코드에 노출될 위험을 줄일 수 있다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★
![[보안칼럼]IT 대란을 통해 본 공급망 공격을 대하는 자세](https://img.etnews.com/news/article/2024/09/21/news-p.v1.20240921.512677232a7f4ee0ba81462b9556e39c_P1.jpg)
