경악한 발견: 230만 대의 Android 휴대폰이 감염됨
사이버 보안 회사인 Aegis Cyber Security의 새로운 매우 우려스러운 보고서는 광범위한 Android 악성 코드 캠페인을 공개하여 수백만 명의 사용자에게 심각한 취약점을 노출시켰습니다. 회사의 조사 결과에 따르면 주로 '장난감' 또는 캐주얼 게임으로 분류되는 겉보기에 무해해 보이는 50개의 애플리케이션이 전 세계적으로 230만 대가 넘는 Android 스마트폰을 감염시켰습니다. 연구원들이 'PhantomLock'이라고 명명한 범인은 기존의 방법을 통해 제거하기 어렵거나 불가능하지는 않더라도 영향을 받은 장치를 손상시키도록 설계된 매우 끈질긴 악성 코드입니다.
2023년 10월 17일에 게시된 Aegis Cyber Security 보고서는 이러한 악성 앱이 다양한 타사 앱 스토어에서 다운로드할 수 있고 일정 기간 동안 Google Play 스토어의 방어를 우회하더라도 체계적으로 침투한 방법을 자세히 설명합니다. 공격자에게 지속적인 액세스 및 제어 권한을 부여합니다. 엄청난 규모의 손상은 모바일 사용자에 대해 점점 더 커지는 위협 환경을 강조하고 사이버 범죄자가 사용하는 정교한 전술을 강조합니다.
'PhantomLock' 위협: 지속적인 악성 코드의 마스크를 해제
PhantomLock은 일반적인 귀찮은 소프트웨어가 아닙니다. Aegis Cyber Security의 분석은 고급 지속성 메커니즘을 보여줍니다. 일단 설치되면 악성 코드는 기만적인 전술을 조합하여 Android 운영 체제 내에 깊숙이 침투합니다. 제거 시도를 방지할 수 있는 '장치 관리자' 액세스를 포함하여 광범위한 권한을 요청하는 경우가 많습니다. 또한 PhantomLock은 장애가 있는 사용자를 위한 합법적인 기능인 Android 접근성 서비스를 악용하여 자체적으로 추가 제어 권한을 부여하고, 사용자 활동을 모니터링하고, 사용자 탭을 시뮬레이션하여 추가 악성 애플리케이션을 설치하거나 공격적인 전체 화면 광고를 표시하는 것으로 관찰되었습니다.
'삭제할 수 없는' 특성은 아이콘을 숨기거나, 중요한 시스템 서비스로 가장하거나, 사용자가 수동으로 제거하려고 할 경우 숨겨진 디렉터리에서 다시 설치하는 기능에서 비롯됩니다. 연구원들은 일부 변종에서 PhantomLock이 루트 수준의 존재를 확립하여 공장 초기화가 비록 과감하기는 하지만 완전한 근절을 위한 유일한 실행 가능한 솔루션이 된다고 지적했습니다. 악성 코드의 주요 목표는 공격적인 광고 사기, 데이터 수집, 잠재적으로 향후 더욱 표적화된 공격을 위한 지속적인 백도어 생성 등 다면적인 것으로 보입니다.
기만적인 플레이: '장난감' 앱이 수백만 명을 유인하는 방법
'장난감' 앱을 벡터로 선택한 것은 가해자들의 계산된 행보였습니다. 가상 애완동물 시뮬레이터와 디지털 피젯 스피너부터 간단한 퍼즐 게임과 '재미있는' 사진 편집기에 이르기까지 이러한 애플리케이션은 보안에 덜 민감한 젊은층이나 일반 사용자를 대상으로 하는 경우가 많습니다. 이지스사이버시큐리티는 악성 타이틀 50개 중 '큐트 펫 어드벤처', '매직 포토 필터 프로', '갤럭시 블라스트 러너' 등의 앱 이름을 식별했다. 이러한 앱은 일반적으로 처음에는 기본적이고 합법적인 기능을 제공했지만 설치 또는 후속 업데이트 후에 백그라운드에서 PhantomLock 페이로드를 은밀하게 다운로드하기만 했습니다.
이 '드롭퍼' 방법을 통해 앱은 처음에 Google Play 스토어와 같은 플랫폼에서 자동 보안 검사를 통과한 후 실제 악의적인 의도를 드러낼 수 있었습니다. 엔터테인먼트나 유틸리티에 대한 약속에 이끌린 사용자는 자신도 모르게 필요한 권한을 부여하여 PhantomLock이 뿌리내릴 수 있는 기반을 마련했습니다. 겉보기에 무해해 보이는 애플리케이션의 높은 다운로드 횟수는 앱 스토어에 대한 사용자의 신뢰와 무료 엔터테인먼트에 대한 욕구를 노리는 소셜 엔지니어링 전술의 효과를 입증합니다.
글로벌 도달 범위 및 긴급 권장 사항
PhantomLock 캠페인의 영향은 북미, 유럽 및 아시아 전역에서 보고된 감염과 함께 대륙에 걸쳐 있습니다. Aegis Cyber Security의 원격 측정 데이터는 사용자가 타사 앱 스토어에 더 많이 의존하거나 보안 패치가 더 적은 이전 Android 버전을 사용할 수 있는 신흥 시장에 영향을 받는 장치가 상당히 집중되어 있음을 나타냅니다. 회사는 악성 앱 제거를 촉진하고 감지 메커니즘을 강화하기 위해 조사 결과를 Google 및 기타 플랫폼 제공업체와 적극적으로 공유했습니다.
즉시 조치: Android 기기 보호
잠재적 감염이 우려되는 사용자를 위해 Aegis Cyber Security는 즉각적인 조치를 취할 것을 권고합니다.
- 설치된 앱 검토: 앱 목록에서 최근에 설치된 '장난감' 또는 게임 앱, 특히 일반 이름이 있거나 일반적이지 않은 앱이 있는지 면밀히 조사하세요. 높은 권한 요청.
- 앱 권한 확인: 휴대전화 설정(설정 > 앱 > [앱 이름] > 권한)으로 이동하여 특히 기기 관리 또는 접근성 서비스에 대한 의심스러운 앱의 불필요한 권한을 취소합니다.
- 안전 모드 제거 시도: Android 기기를 안전 모드로 재부팅합니다(정확한 방법은 기기마다 다르며 일반적으로 전원 버튼을 누른 다음 '전원 끄기'를 탭하거나 길게 누르는 과정이 포함됩니다). 안전 모드에서는 타사 앱이 비활성화되어 잠재적으로 악성 앱을 제거할 수 있습니다.
- 백업 및 공장 초기화: PhantomLock의 지속성으로 인해 직접 제거가 불가능한 경우 공장 초기화가 기기를 완전히 정리하는 유일한 방법인 경우가 많습니다. 중요한 모든 중요한 데이터를 백업하세요(사진, 연락처, 문서) 초기화를 수행하기 전에 이 프로세스를 수행하면 기기의 모든 내용이 지워지므로.
- 신뢰할 수 있는 출처를 고수하세요. 항상 공식 Google Play 스토어에서 앱을 다운로드하고 신규 개발자나 알려지지 않은 개발자에게는 주의를 기울이세요. 성능이나 의심스러운 행동에 관한 부정적인 피드백에 주의하면서 앱 리뷰를 읽어보세요.
- OS 업데이트 유지: Android 운영 체제와 보안 패치에는 알려진 취약점에 대한 수정 사항이 포함되어 있는 경우가 많으므로 항상 최신 상태인지 확인하세요.
PhantomLock 캠페인은 모바일 악성 코드와의 지속적인 전투를 극명하게 상기시켜 줍니다. 강력한 보안 관행과 결합된 사용자 경계는 디지털 놀이터에 숨어 있는 정교한 위협에 대한 가장 효과적인 방어책입니다.
