안드로이드를 개발하는 구글은 순정 스마트폰인 픽셀 시리즈와 안드로이드에서 소프트웨어 악용에 엄격하게 맞서고 있지만 구글플레이에선 아직도 악성코드 앱이 배포되고 있으며 타사 안드로이드 스마트폰에도 취약한 게 많은 탓에 안드로이드 전체 이미지가 나빠지고 있다. 새롭게 안드로이드 스마트폰이나 안드로이드 TV 수백만 대에 악성코드가 사전 설치되어 있다는 게 밝혀졌다고 한다.
안드로이드 스마트폰 수백만 대에 멀웨어가 사전 설치되어 있다고 처음 알린 건 보안 기업인 트렌드마이크로. 싱가포르에서 열린 보안 관련 콘퍼런스인 블랙햇 기간 중 보안 기업인 소포스(Sophos)는 게릴라(Guerrilla)라는 악성코드를 포함한 15개 악성 앱이 구글플레이에 게재되고 있다고 발표했다. 트렌드마이크로 보안 연구팀이 게릴라를 추적 조사한 결과 50개 다른 브랜드에서 출시된 최대 890만 대 스마트폰에 이 악성코드가 사전 설치되어 있다는 게 밝혀졌다고 한다.
게릴라는 감염 장치에 백도어에 설치하고 명령 및 제어 서버와 정기 통신해 새로운 악성 업데이트를 설치할 수 있는지 확인하면서 작동하는 멀웨어다. 이 악의적 업데이트는 트렌드마이크로가 레몬그룹(Lemon Group)이라고 부르는 위협 액터가 광고주에게 판매하기 위한 사용자 데이터를 수집하기 위해 이용하고 있다고 한다. 게릴라는 배터리 잔량을 고갈시키고 사용자 경험을 저하시킬 수 있는 공격적인 광고 플랫폼을 은밀하게 설치하는 것으로 나타났다.
게릴라는 사용자의 왓츠앱 세션을 도용해 불필요한 메시지를 보내고 감염 기기에서 역방향 프록시를 설정해 영향을 받은 기기 네트워크 리소스를 사용하며 공인 앱에 광고를 삽입하는 12가지 플러그인을 갖춘 대뮤고 플랫폼이 됐다고 한다.
트렌드마이크로는 악성코드가 사전 설치된 스마트폰 브랜드를 확인할 수 없었다고 하지만 게릴라에 감염된 스마트폰이 가장 많이 존재하는 건 미국이며 멕시코, 인도네시아, 태국, 러시아가 이어져 있다고 한다.
트렌드마이크로는 레몬그룹에 대해 레몬그룹이 빅데이터, 마케팅, 광고회사를 대상으로 하는 사업을 몇 가지 확인할 수 있었지만 메인은 빅데이터 활용에 있는 것 같다고 언급했다. 이에 따라 보도에선 아마존에서 판매되는 안드로이드TV 기기에도 멀웨어가 사전 설치되어 있다는 지적이 나왔다.
이에 따르면 멀웨어가 사전 설치된 상태에서 판매되는 안드로이드TV 기기는 중국 기업인 올위너(AllWinner)와 록칩(RockChip)이 판매하는 H616을 탑재한 T95라는 모델로 해당 기기는 여러 대 판매되고 있다고 한다. 또 아마존에서 이들 안드로이드TV 기기는 수천 건에 이르는 칭찬성 리뷰를 모으고 있으며 리뷰 평균 별점 4점이라는 높은 평가를 받았다.
이런 안드로이드TV 기기에 악성코드가 사전 설치되어 있다는 걸 발견한 건 해당 기기 중 하나를 우연히 구입했다는 보안 연구자는 깃허브에서 멀웨어가 사전 설치된 안드로이드TV 기기를 조사했다. 그에 따르면 안드로이드TV 장치에 사전 설치된 악성코드는 게릴라와 마찬가지로 명령 및 제어 서버를 통해 악성 코드 작성자가 원하는 모든 앱을 감염된 단말에 원격으로 설치할 수 있다고 한다. 이 악성코드는 클릭봇으로 알려져 있으며 백그라운드에서 비밀리에 광고를 클릭해 악의적 사용자를 위해 광고 수익을 창출한다. 그에 따르면 몇 가지 모델(AllWinner T95Max, RockChip X12 Plus, RockChip X88 Pro 10)에 멀웨어가 사전 설치되어 있었다고 한다.
이런 점에서 보도에선 안드로이드 스마트폰을 구입할 때에는 삼성전자나 에이수스, 원플러스 등 잘 알려진 브랜드 제품을 선택할 필요가 있다는 지적이다. 하이엔드 안드로이드 기기에 악성코드가 사전 설치되어 있다는 보고는 없고 아이폰에서도 이런 종류 보고는 없었다는 것이다. 관련 내용은 이곳에서 확인할 수 있다.