- 황치규 기자
- 승인 2021.03.20 10:35
[디지털투데이 황치규 기자] 실시간 음성 SNS 서비스인 클럽하우스가 사용자들 입에 오르내리면서 클럽하우스 앱으로 위장한 악성코드도 등장하고 있어 주의가 요망된다.
클럽하우스는 아직 초대장이 있어야 쓸 수 있는 베타 서비스 형태로 제공되고 있다. 또 아이폰용으로만 나와 있다. 안드로이드앱은 개발에 들어간 거 같기는 한데, 아직 나오지는 않은 상황이다.
그러다 보니 클럽하우스 안드로이드앱이라고 위장한 악성코드를 배포해 사용자가 쓰는 기기에 침투하려는 사이버 공격자들이 나오는 모양이다.
19일(현지시간) 지디넷에 따르면 보안업체 이셋(ESET)는 짝퉁 클럽하우스 웹사이트에서 제공되는 안드로이드 앱을 발견했다.
클럽하우스 가짜 웹사이트 화면. 안드로이드 클럽하우스 앱을 내려받을 수 있는 것처럼 보이지만 실제로는 악성코드를 다운로드하도록 한다.
이 웹사이트는 "구글 플레이에서 클럽하우스를 내려받아라"(Get it on Google Play)라는 버튼을 사용해 방문자들이 앱이 합법적인 것으로 믿도록 속인다.
다운로드하고 실행하면 악성코드 APK(Android application package)는 광범위하게 데이터를 유출할 수 있는 트로이목마형 악성코드인 블랙록(BlackRock)을 설치한다.
이셋에 따르면 블랙록은 SMS 메시지를 가로채 조작할 수 있다. 알람을 숨기거나 사용자들이 안티 바이러스 소프트웨어를 돌리려고 하면 기기 홈화면으로 이동시킨다. 원격에서 홈화면을 잠그는 데도 사용될 수 있다.
정보 유출과 관련 블랙록은 기기와 OS 정보, 텍스트 메시지 뿐만 아니라 458개 온라인 서비스 콘텐츠도 훔칠 수 있다고 지디넷은 전했다.
사용자가 앱 서비스를 열 때 오버레이(overlay) 공격이 실행되며 오버레이 공격은 사용자 기밀 정보를 요구하고, 정보가 제출되면, 악성코드 운영자가 가져간다고 덧붙였다. 페이스북, 아마존, 넷플릭스, 트위터, 캐시앱 등 금융, 유통, 암호화폐거래소 등 다양한 분야 서비스들이 오버레이 공격 대상이 될 수 있는 것으로 전해졌다.
SMS 기반 투팩터 인증(two-factor authentication: 2가지 방식의 인증을 사용하는 것)을 사용한다고 공격을 막을 수 있는 것은 아니다. 이 악성코드는 문자 메시지까지 가로챌 수 있기 때문이다. 가짜 구글 버튼을 사용하는 것은 누군가가 악성 APK를 다운로드하고 있다는 것을 막는 영리한 방법일 수 있는 만큼, 구글 플레이 플랫폼에 직접 가는 것이 이 같은 속임수에 당할 리스크를 줄일 수 있다고 지디넷은 전했다.
황치규 기자 delight@d-today.co.kr