사용자 몰래 가상화폐 채굴하는 스마트폰 악성앱 분석 보고서

5월 27일 한국인터넷진흥원(KISA)에서 발표한 사용자 몰래 가상화폐 채굴하는 스마트폰 악성앱 분석 보고서입니다. 자료는 하단에 첨부파일 클릭하시면 있습니다.

 

KISA가 발표한 사용자 몰래 가상화폐 채굴하는 악성앱 분석 보고서에 따르면 가상화폐 채굴 동작은 지속적으로 과도한 연산을 함으로써 기기를 혹사시키고 수명을 단축시킬 수 있으며 많은 양의 전력을 소모합니다. 이 때문에 공격자들은 자신의 기기 대신에 다수의 희생자 스마트폰을 사용하여 돈을 벌고 있는 것으로 보입니다.

 

이번에 발견된 악성앱은 정상적인 앱의 기능을 갖고 있고, 사용자가 스마트폰을 이용하지 않거나 충전 중일 때에만 채굴 동작을 하도록 해 감염 사실을 교묘히 숨겼습니다. 이로 인해 피해자들 스스로가 자신의 스마트폰이 공격자에게 이용당하고 있다는 사실을 인식하기 쉽지 않아 피해가 커질 수 있습니다.

 

사용자가 스마트폰 화면을 깨워서 작동시킬 경우 해당 악성앱은 자신의 악성행위를 중지시키고 생성했던 파일들도 삭제합니다. 이후 일정 시간 주기로 상태를 체크하다가 스마트폰을 사용하지 않는 상태일 때 다시 채굴을 시작합니다. 특히, WiFi 연결 설정을 하지 않은 상태일 때에도 20시~7시 사이의 야간이면 스스로 WiFi를 활성화시키고 채굴을 시도하는데, 이는 사용자가 잠을 자는 시간 동안 스마트폰을 이용해 채굴행위를 하기 위한 것으로 보입니다. 또한 이 악성앱은 포인트 적립 앱으로 위장하여 게임 설치나 쇼핑을 통해서 포인트를 쌓을 수 있는 것처럼 보이며, 백그라운드에서는 충전중인지를 확인하여 채굴 활동을 하는 악성기능을 포함하고 있습니다.

 

채굴 활동을 하면 많은 연산을 하기 때문에 배터리가 급속히 소모되는데, 이로 인해 사용자가 악성앱 감염을 의심하지 않도록 하기 위해서 충전 상태일 때만 채굴 활동을 하는 것으로 분석됐고 충전 중이더라도 온도가 높거나 충전율이 15% 이하이면 채굴을 바로 시작하지 않고 1분 간격으로 상태를 체크하며 대기하게 됩니다. 해당 악성앱은 안드로이드 인기 유료앱(Business Calendar Pro 등)에 채굴 악성코드를 주입한 후 리패키징(Repackaging)하여 블랙마켓 등에서 무료로 배포하거나 정상 앱 개발 시 의도적으로 채굴 악성코드를 일부 포함하여 배포한 것으로 추정됩니다.

 

이 가상화폐 채굴 악성앱은 악성앱임을 발견하기 어렵게 하기 위해 악성행위의 소스코드 패키지 이름을 com.google.ads 라는 구글 광고 모듈의 이름으로 위장해 삽입했습니다. 또한 com.stericson.RootTools 라는 오픈소스(Open Source) 프로젝트의 루팅(Rooting) 활용 모듈을 함께 포함하고 있었습니다. 이 모듈은 루팅 된 폰에서 관리자 권한으로 채굴 명령을 실행시키기 위해 쓰였습니다.

 

외국 보안기업 트렌드마이크로가 지난 3월 발표한 자료에 따르면, 이와 같은 앱이 구글 공식 플레이 스토어에 등록된 것을 발견해 구글에 삭제조치를 요청했습니다. 해당 앱은 당시 1백만 건 이상 다운로드 된 인기앱이었고 신고 이후 구글에 의해 삭제 조치됐습니다.

사용자_몰래_가상화폐_채굴하는_스마트폰_악성앱_분석.pdf

1.33MB