스피어피싱에 악용될 수 있는 신종 모바일 애드웨어가 발견됐다. 감염된 앱은 주로 해외 시뮬레이션 게임이다.
이스라엘 보안업체 체크포인트가 발견한 이 멀웨어는 안드로이드 애플리케이션(앱) 206개를 감염시켰다. 이 앱들의 총 다운로드 수는 1억5000만건에 달한다. 구글은 즉시 해당 앱을 구글플레이스토어에서 제거했으나, 이미 다운로드된 앱은 사용자 기기에 그대로 남아있다.
체크포인트는 감염된 앱 상당수가 시뮬레이션 게임이라는 점에서 이 멀웨어를 '심배드(SimBad)'라고 명명했다. '심배드'는 광고표출, 피싱, 다른 앱 노출 등 3가지 기능을 지녔다. 사용자가 감염된 앱을 내려받아 설치할 때 사용자 기기에 숨어들어 백그라운드에서 동작한다.
웹브라우저에서 특정 URL을 열어 사용자가 원치 않는 광고를 띄울뿐 아니라, 여러 플랫폼에 걸쳐 피싱페이지로 사용자를 유도할 수 있다. 특정 키워드 검색이나 앱 페이지만으로 구글플레이와 같은 앱 마켓에 연결시키기도 한다. 다른 사이버범죄자에게 이를 서비스로 판매해 수익을 올렸을 가능성도 제기된다.
'심배드'는 애드웨어 단계를 넘어 더 큰 보안 위협으로 작용할 수 있다. 지정된 명령제어(C2)서버로부터 원격 앱을 몰래 내려받아 추가로 악성코드를 심을 수 있기 때문이다. 백도어로 설치된 앱은 사용자가 조치를 취할 수 없도록 아이콘이 제거되고, 기기 부팅 때마다 실행된다.
'심배드'가 200개가 넘는 앱에 숨어들 수 있었던 것은 소프트웨어개발킷(SDK)에 포함됐기 때문이다. 체크포인트는 여러 앱 개발자가 이 광고 관련 SDK에 악성코드가 담겨있는지 인식하지 못하고 적용함으로써 다수 앱이 감염된 것으로 분석했다.
팽동현기자 paing@etnews.com