코틀린으로 만들어진 첫 멀웨어, 스위프트 클리너 발견돼

오픈소스 프로그래밍 언어 코틀린...멀웨어 개발에 사용된 첫 사례
구글이 아직 조치를 취했는지 명확히 밝히고 있지 않아

[보안뉴스 문가용 기자] 가짜 유틸리티 앱이 또 하나 발견됐다. 이름은 스위프트 클리너(Swift Cleaner)이고, 안드로이드 환경에서 유포되고 있다. 특이한 건 오픈소스 프로그래밍 언어인 코틀린(Kotlin)으로 작성되었다는 건데, 안드로이드 모바일 멀웨어 중 이러한 사례는 여태까지 없었다고 한다.

▲ 언젠가 크게 될 지도 모르는 코틀린 [이미지 = iclickcart]

구글의 공식 플레이 스토어에 등록되어 있는 스위프트 클리너는 1월 9일까지 1000~5000번 다운로드 되고 설치된 것으로 나타났다. 이 앱을 발견하고 분석한 보안 업체 트렌드 마이크로(Trend Micro)에 의하면 이 앱은 모바일 기기 내 불필요한 파일이나 캐시 메모리를 삭제해주는 등 최적화 작업을 해주는 것처럼 위장되어 있다고 한다.

“하지만 이 앱의 실제 기능은 악성 원격 명령을 실행시키는 겁니다. 또한 정보를 훔치고, 사용자 몰래 SMS를 보내며 URL을 전달합니다. 클릭 사기와 광고 사기를 실행하기도 하죠. 게다가 사용자 몰래 고급 문자 서비스에 등록해 비용을 지불하게 만들기도 합니다.” 트렌드 마이크로 블로그에 있는 내용 중 일부다.

트렌드 마이크로의 모바일 위협 분석가인 로린 우(Lorin Wu)는 블로그 포스트를 통해 “구글에 이 사실을 알렸다”고는 했지만 구글이 이 앱을 삭제했는지 여부는 밝히지 않고 있다.

코틀린?
코틀린이란 오픈소스 언어를 안드로이드 개발에 사용하도록 구글이 허가한 건 2017년 5월이다. 즉 구글 플랫폼에 코틀린이 호환되기 시작한 게 그때부터라는 것이다. 공식 코틀린 웹사이트에 의하면 코틀린이란 정적 프로그래밍 언어로 자바 및 안드로이드와 완벽히 호환이 되며 다양한 플랫폼에서 쓸 수 있다고 한다. 코틀린의 가장 큰 장점은 보일러플레이트 코드(boilerplate code)의 사용을 최대한 줄여줌으로써 오류를 최소화할 수 있고, 현존하는 다양한 라이브러리들과의 호환성을 들 수 있다.

하지만 이런 편리성은 거꾸로 멀웨어 개발자들에게도 큰 장점이 될 수 있다는 것이 로린 우의 설명이다.

한편 스위프트 클리너 멀웨어는 감염된 기기들의 정보를 원격 C&C 서버로 보내는 기능을 가지고 있다. 이 정보를 받은 C&C 서버는 여러 가지 명령을 되돌려 보낸다. 여기에 특정 번호도 함께 전송해 멀웨어가 임의의 SMS 메시지를 그리로 보내도록 한다. 대부분 악성 URL 주소를 포워딩 시킬 때 SMS 메시지 전송 기능을 활용한다.

로린 우는 “피해자의 기기에 있는 멀웨어는 원격 명령을 받은 후에 무선 애플리케이션 프로토콜(WAP)와 관련된 태스크를 실행시킨다”고 설명한다. “그런 후 악성 자바스크립트 코드를 주입해 광고의 HTML 코드를 특정 검색 스트링 내에서 파싱(parsing)합니다. 결과적으로 모바일 내 데이터를 몰래 공개하고, 이미지 base64 코드를 파싱해서 캡차를 크래킹한 뒤 그 결과물을 원격 서버로 보내는 겁니다.”

또한 스위프트 클리너는 사용자의 인터넷 제공업체 정보, 로그인 정보, 캡챠 이미지들도 C&C 서버로 전송한다고 트렌드 마이크로는 밝혔다. 이 정보들을 가지고 공격자는 피해자로 위장해 고급 SMS 서비스를 신청한다.

트렌드 마이크로의 블로그는 이 주소(http://blog.trendmicro.com/trendlabs-security-intelligence/first-kotlin-developed-malicious-app-signs-users-premium-sms-services/)를 통해 접속 가능하다.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)