보안전문기업 ㈜하우리(대표 김희천, www.hauri.co.kr) 는 악성코드가 삽입된 금융앱에 안드로이드 취약점을 이용하여 악성코드가 추가된 악성앱을 발견하였다고 밝혔다.

이번에 발견된 악성앱은 MasterKey(CVE-2013-4787) 취약점을 이용하여 특수하게 패키징된 악성앱이다. 기본적으로 안드로이드 설치파일(.apk)은 보통 ZIP 파일로 패키징 되는데 ROOT에 안드로이드 실행 파일인 Classes.dex 파일을 실행하여 안드로이드에서 실행되는 구조로 되어있다. 그런데 이 취약점을 이용하게되면 패키지 안에 Classes.dex 파일을 여러개 삽입할 수 있으며 악성코드가 추가된 Classes.dex 파일을 정상 파일로 오인하게하여 안드로이드 환경에서 우선 실행되도록 동작되는 취약점이다.

[그림 1] classes.dex가 추가된 패키지 파일 내부

이 취약점이 위험하고 치명적인 이유는 삽입된 악성DEX가 있음에도 정상앱 에서 사용하는 인증정보 정보를 그대로 사용할 수 있기 때문이다. 예를 들어 은행앱에 DEX를 삽입하게 되면 악성코드가 들어있더라도 은행에서 공식적으로 배포한 앱으로 인식하기 때문이다. 이러한 취약점을 이용하여 구글마켓에서 배포 하게되면 정상앱으로 등록되는 문제가 발생할 수 있다.

[그림 2] 악성앱 실행화면

현재 구글마켓에서는 해당 취약점을 이용한 앱이 등록되지 않도록 차단되어 있는 것을 확인하였으며, 구글마켓을 통해 앱을 다운로드 받아 설치하는 것이 안전한 상태이다.

모바일 보안 전문가들은 위와 같은 악성코드에 대응하기 위해선 “모바일 백신의 최신버전 업데이트를 유지하고 실시간 감시기를 활성화하여 감염이 되지 않도록 주의를 기울여야 된다고 당부했다.” 또한, 이 외에도 “안드로이드 취약점을 이용한 악성앱이 지속적으로 제작될 것으로 전망하고 있어 스마트폰 사용자는 URL 링크를 함부러 클릭하거나 블랙마켓의 접속을 자제하여야 한다.” 라고 말했다.