안드로이드에 숨은 '원더랜드'…OTP까지 털린다

정상 앱처럼 위장해 보안 점검 회피

문자·인증정보 탈취 후 실시간 금융사기까지

보안업계에 따르면, 감염되면 스마트폰에서 몰래 정보 탈취를 넘어 원격 제어, 실시간 무단 금융 결제까지 수행 가능한 악성코드가 안드로이드 운영체제(OS) 환경에서 유포되고 있어 주의가 요구된다.

지난해 10월경부터 번진 것으로 알려진 '원더랜드' 등 안드로이드 악성코드는 극히 정상적인 앱인냥 위장한 '드로퍼'로 최초 침투를 한뒤 악성코드를 침투한다.

원더랜드는 설치 즉시 악성 행위를 시작하는 트로이목마 APK(앱 파일)가 아니라, 정상적인 앱처럼 위장하다가 악성 페이로드를 이용자 환경에서 내장하고 있던 악성코드를 실행하는 방식을 사용한다는 것.

해당 방식은 네트워크 연결 없이도 악성코드를 설치할 수 있고, 초기 보안 점검이나 정적 분석을 회피할 수 있다.

설치 과정에서 이용자에게 민감한 권한을 요청하거나 의심스러운 동작을 요구하지 않아 이용자로서는 설치 시점에는 악성 앱 여부를 알기가 어렵다고 한다.

보안기업 '그룹-IB(아이비)'는 “원더랜드는 기존의 단방향 전송과 다르게 양방향 통신을 지원해 공격자의 원격제어 에이전트 역할을 한다”고 설명하고 있다. 원더랜드는 공격자의 실시간 명령을 받아 이용자의 스마트폰을 통제할 수 있게 된다.

공격자는 양방향 통신으로 문자메시지(SMS)부터 1회용 비밀번호 생성기(OTP)까지 탈취하며, 이동통신사 서버와 정보를 주고받는 명령을 시행해 착신 전환까지 구현할 수 있다. OTP에도 접근할 수 있어 이용자의 금융 앱에 접속해 자금을 무단 탈취하는 것까지 가능하다.

이 과정에서 공격자들은 금융 앱의 푸시 알림마저 일시적으로 숨김으로써 이용자가 돈이 빠져나간다는 사실을 인지하지 못하게 하는 것으로 파악됐다.

원더랜드는 우즈베키스탄에서 처음 포착된 것으로 알려졌는데, 공격자들은 도난당한 텔레그램 계정을 다크웹에서 구매한 뒤 이를 경로로 다른 연락처에 악성 앱 설치 파일을 유포하는 것으로 드러났다.

사용자가 권한을 허용하고 스마트폰 감염에 성공하게 되면 공격자는 해당 기기의 전화번호 연락처로도 접근해 텔레그램 계정을 탈취하고, 해당 계정의 대화목록과 연락처로도 접근해 악성 앱 파일을 재차 유포해가는 방식이다.

사용자는 출처가 불분명한 앱은 설치하지 말고, 문자로 온 링크는 절대 열지 말아야 되며, 새로운 앱 다운로드 시엔 공식 앱스토어를 이용하도록 권고하고 있다.

더우기 메신저 등에서 공유받은 파일을 통해 앱을 설치하는 경우는 반드시 주의해야 한다. 앱을 실행하는 단계에서는 앱이 요청하는 권한을 꼼꼼히 살핀 뒤 꼭 필요한 권한만 허용하는 것이 도움이 된다.

이미 감염이 의심된다면 즉시 스마트폰의 네트워크의 연결도 끊고 악성 앱을 찾아 삭제하거나 아예 스마트폰의 초기화를 진행하는 것이 좋으며, 금융정보 등을 스마트폰 내 메모나 메시지등에도 저장하지 말아야한다.

무단 결제 피해가 발생했다면 경찰서를 방문해 사고 내역을 신고해야 한다.