Google Play에서 200만 명이 감염된 악성코드 'FalseGuide'

'포켓몬GO(Pokémon GO)' 등의 인기 앱의 공략법을 설명하는 가이드 앱에서 잘못된 광고 표시를 하거나 단말기를 장악할 수 있는 악성코드 'FalseGuide'가 탑재되어 있었던 것이 밝혀졌습니다. 이 FalseGuide가 탑재된 앱은 Google Play 스토어에서 다운로드된 것으로, 피해자는 200만 명에 이를 것으로 보여지고 있습니다.

FalseGuide misleads users on GooglePlay | Check Point Blog
http://blog.checkpoint.com/2017/04/24/falaseguide-misleads-users-googleplay/

FalseGuide misleads users on GooglePlay - Check Point Software

Beware! New Android Malware Infected 2 Million Google Play Store Users
http://thehackernews.com/2017/04/android-malware-playstore.html

Beware! New Android Malware Infected 2 Million Google Play Store Users

보안업체 Check Point의 연구원이 Google Play 스토어에 등록된 40개 이상의 가이드 앱에 악성코드 FalseGuide가 탑재되어 있는 것을 발견했습니다. 60만대의 단말기에 다운로드 된 것으로 추산되었는데, Check Point의 후속 조사를 통해 가장 오래된 것은 2016년 11월에 Google Play 스토어에 등록된 것으로 2017년 4월까지 약 5개월간 색출되지 않고 다운로드가 가능한 상태로 등록되어 있었으며, 200만 명 이상이 피해를 당한 것으로 밝혀졌습니다.

FalseGuide가 포함된 앱은 설치할 때 관리자 권한을 요구하며, 이에 동의하면 앱을 사용자가 삭제하지 못하도록 합니다. 그 후 악성코드는 앱 개발자가 메시지를 보낼 수 있는 크로스플랫폼 서비스 'Firebase Cloud Messaging'에 단말기를 등록. 공격자가 단말기에 링크된 메시지를 보내 설치하고 악성 팝업 광고를 표시하여 광고 수익을 창출하는 구조입니다.

현재 발견된 피해는 악성 팝업 광고를 표시하는 데 그치고 있지만, FalseGuide은 기술적으로 감염된 단말기로 봇넷을 짜거나 터미널을 완전히 장악하거나 개인 네트워크에 침입할 수 있다고 Check Point는 경고하고 있습니다.

Check Point에 따르면, FalseGuide이 포함된 첫 번째 앱은 Sergei Vernik와 Nikolai Zalupkin라는 러시아인의 이름으로 등록된 것으로, 지금까지 확인된 FalseGuide 탑재 앱의 많은 수가 러시아어 이름의 앱이지만, 그중에는 'Guide or FIFA Mobile', 'Guide for LEGO City My City', 'Guide for Pokemon GO', 'Guide For FIFA 17' 등의 영어 제목도 있으며, 그중에는 'Guide for Shadow fight 3 and 2'와 같이 최대 50만 번 이상 다운로드 된 인기 가이드 앱도 있다고 합니다.

Check Point는 FalseGuide의 존재를 Google에 통지하고, 통지 후 즉시 해당 앱은 Google Play 스토어에서 삭제되었다고 합니다. 그러나 앱이 Google Play 스토어에서 삭제되었다 하더라도, 이미 사용자 단말기에 설치된 앱에 의한 피해는 계속될 것으로 생각됩니다.

Check Point는 FalseGuide이 가이드 앱을 대상으로 악성코드를 유포한 이유에 대해 "앱이 인기가 있기 때문"이라고 추측하고 있습니다. 또한, 주요 앱 업체와 달리 가이드 앱은 소규모의 개발자여도 개발이 가능하며, 사용자가 앱의 선택을 잘못하기 쉬운 측면일지도 모릅니다.