배터리 다 잡아먹는 안드로이드 채굴 코드, 히든마이너

기존 안드로이드 멀웨어들의 좋은 기능 다 차용한 채굴 코드
배터리 다 닳게 하거나 기기 과열로 작동 멈출 때까지 채굴

[보안뉴스 문가용 기자] 암호화폐를 채굴하는 사이버 범죄자들이 에스락커(SLocker)라는 안드로이드 랜섬웨어에 있는 기능을 일부 차용해 스스로를 보호하고 있는 것으로 나타났다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)는 이 채굴 코드를 히든마이너(HiddenMiner)라고 부른다.

[이미지 = iclickart]

히든마이너는 에스락커와 마찬가지로 기기 관리자(Device Administrator) 기능을 어뷰징한다. 이로써 기기 안에 숨어서 지속적으로 활동을 할 수 있다. 트렌드 마이크로는 히든마이너가 얼마나 활동적으로 작동하는지 기기의 배터리가 다 바닥날 때까지 혹은 기기가 과열로 작동을 멈출 때까지 쉴 새 없이 기기의 자원을 소모한다고 한다.

또한 히든마이너는 사용자가 이 기능을 해제하려고 할 때 기기의 화면을 잠금으로써 관리자 권한을 가진 채 유지하기도 한다. 이 때 안드로이드 운영체제 7.0 혹은 그 이후 버전에 원래 존재하는 오류를 활용한다.

“이는 이전에 나타났었던 안드로이드용 모네로 채굴 멀웨어인 로피(Loapi)와 비슷합니다. 로피 역시 기기의 배터리를 다 닳게 하도록 모네로를 채굴했었거든요. 또한 기기 관리자 권한을 탈취한 뒤로 화면을 잠근다는 것도 비슷합니다.” 트렌드 마이크로의 모바일 위협 분석가인 로린 우(Lorin Wu)의 설명이다.

히든마이너에는 몇 가지 난독화 기술도 포함되어 있다. “앱 레이블을 비워두고 투명한 아이콘을 사용합니다. 유치하지만, 눈에 최대한 안 띄도록 한 것이죠. 그리고 관리자 권한을 갖고 가는 데 성공하면 앱 런처로부터 숨기 시작합니다. 이 때 setComponentEnableSetting()을 호출하죠. 이는 더블히든(DoubleHidden)이라는 안드로이드 애드웨어에 있던 기술입니다.”

왜 사용자들은 이 히든마이너를 설치하는 걸까? “정상적인 구글 플레이 업데이트 앱인 것처럼 화면에 나타나기 때문입니다. 정확히 말하면 com.google.android.provider인 것처럼 가장하죠. 게다가 공식 구글 플레이 로고도 가지고 있고요. 사용자가 링크를 클릭할 때까지 계속해서 ‘공식적인 모습으로’ 화면에 뜹니다.”

사용자가 클릭하는 순간 모네로 채굴은 시작된다. 로린 우는 “히든마이너의 채굴 효율이 뛰어난 편에 속하기 때문에 곧 많은 사이버 공격자들이 사용하기 시작할 것”이라고 경고한다.

트렌드 마이크로는 이 모네로 채굴 코드를 추적했고, 3월 26일을 기준으로 최소 5360 달러의 모네로를 공격자들이 벌어들였을 것이라고 계산하고 있다. 현재까지 피해자들은 인도와 중국에 집중되어 있고, 대부분 서드파티 앱스토어를 방문해서 앱을 설치하다가 이런 피해를 겪는다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)