안드로이드 악성코드 ‘굴리건’ 주의보!
“구글 계정 100만 개 이상 이미 유출”


원문보기: 
http://www.itworld.co.kr/news/102348#csidx6dd9868a8d0e104a8db2e991d98aa05 

 

 

안드로이드 기기의 루트 권한과 구글 계정 정보를 탈취하는 악성코드가 기승을 부리고 있다.

이미 100만 개 이상의 구글 계정이 유출됐으며, 계속 영향력이 커지고 있다.

이 사실을 전한 보안 업체 체크포인트(Checkpoint)에 따르면, 굴리건(Gooligan)이라는 이 악성코드는 안드로이드 사용자의 구글 계정을 탈취해서 특정 광고 네트워크에 광고되고 있는 앱을 다운로드하거나 앱의 리뷰 점수를 높게 주기 위해 활용된다. 굴리건은 특히 안드로이드 4.1~5.1 버전의 기기를 대상으로 한다.

체크포인트는 “역대 최대의 구글 계정 유출 사고라고 생각한다”고 말했다.

굴리건은 정상적인 안드로이드 앱으로 위장한다. 체크포인트가 발견한 굴리건 포함 앱은 총 86건인데, 그 중 상당수가 서드파티 앱 스토어에서 제공되고 있다. 굴리건이 기기에 설치되면, 구형 안드로이드 버전의 잘 알려진 취약점을 익스플로잇해서 루트 권한을 탈취한다.

현재 100만 개 이상의 구글 계정이 유출됐으며, 그 중 19%가 미국, 9%가 유럽, 57%가 아시아 지역 사용자의 계정이다.



루트 권한을 탈취한 굴리건은 사용자의 구글 인증 토큰을 탈취해서 지메일과 구글 플레이 및 기타 관련 서비스에 접근할 수 있게 된다.

사용자의 구글 계정에 접근할 수 있게 되면, 이 악성코드는 이제 수익화를 시도한다. 광고 네트워크에서 홍보되는 앱을 설치하거나 구글 플레이에서 특정 앱에 대한 긍정적인 리뷰를 남기는 것 등이다.

체크포인트는 “공격자들은 굴리건 앱이 성공적으로 설치되었을 때 광고 네트워크로부터 돈을 받는다”고 설명했다.

 

체크포인트는 사용자들이 구글 계정이 굴리건에 감염됐는지를 확인할 수 있는 웹사이트를 열었다. 

한편, 보안 전문가들은 사용자들이 서드파티 앱 스토어에서 앱을 다운로드 받지 말 것을 권고한다. 이 앱 스토어들은 등록된 앱들의 안전을 보장해주지 않기 떄문이다.

굴리건을 만든 공격자들 역시 앱을 다운로드할 수 있는 링크가 포함된 MS 메시지를 보내 악성코드를 확산시키고 있다.
구글은 아직 굴리건에 대한 대책을 발표하지 않았지만, 체크포인트는 구글이 이 문제를 조사중이며 악성코드에 탈취된 인증 토큰을 파기하고 있다고 전했다.

 

editor@itworld.co.kr

 

원문보기: 
http://www.itworld.co.kr/news/102348#csidx6dd9868a8d0e104a8db2e991d98aa05