'구글 서비스 프레임워크' 가장한 모바일 악성코드 발견

국내 주요 은행 애플리케이션을 사칭한 ‘구글 서비스 프레임워크’ 모바일 악성코드 화면 [사진 = 파이어아이 ]

아주경제 장윤정 기자 = 파이어아이는 ‘구글 서비스 프레임워크’를 가장한 모바일 악성코드를 발견했다고 23일 밝혔다.

현재 국민, 우리, 신한, 농협 등 주요 8개 은행 앱을 이용하는 모바일 사용자들도 해당 악성코드의 타깃이 돼 더욱 주의가 시급하다. 

‘com.ll’이라는 패키지 이름의 새로운 악성코드는 ‘구글 서비스 프레임워크’라는 안드로이드 기본 앱 아이콘으로 나타나며, 안드로이드 사용자는 관리자 모드 환경설정에서 비활성화 시키지 않는 이상 삭제할 수 없다.

새로운 악성코드는 안드로이드 환경에서 백그라운드로 실행되면서 원격 접속(RAT), 안티바이러스 애플리케이션 구동 정지 등을 통해 해킹을 시도한다.

파이어아이측은 "과거 대부분의 안드로이드 멀웨어는 한가지 악성행위개인정보유출은행인증서유출 등만 수행했지만 이제는 모든 기능이 포함된 하나의 프레임워크로 제작되고 있고 앞으로 보다 완성된 형태가 될 것"이라며 "특히 이러한 프레임워크가 완성되면, 뱅크 하이재킹(Bank Hijacking)과 같은 공격에 활용 될 것이며, 현재 한국의 주요 은행 8개의 애플리케이션을 이용하는 모바일 사용자들이 위와 같은 유형의 공격 타깃으로 확인됐다"고 밝혔다.

현재까지 해당 악성코드 샘플에 대해 54개 안티바이러스 제품 중 5개만이 탐지해냈을 정도며, 악성코드는 해커가 사용하는 명령 제어(C&C) 서버에 의해 빠르게 변화하고 있다.

파이어아이는 “가까운 시일 내에 이러한 프레임워크가 완성되면 새로운 은행 애플리케이션을 단 30분 만에 해킹할 수 있는 정도의 대규모 금융정보 탈취로 이어질 수 있다”며, “IP 주소만으로 해커의 정체를 알아낼 순 없었지만, 악성코드가 한국 시장을 타깃으로 하고 있는 것을 발견했다”고 밝혔다.