네크로 악성코드, 구글 플레이 스토어에서 발견된 1100만 대의 안드로이드 기기를 감염
네크로 악성코드의 재등장
5년 전 최초 발견
2019년, 구글 플레이 스토어에서 합법적인 안드로이드 앱이 악성코드에 감염된 사실이 처음 발견되었습니다. 당시 1억 대의 기기가 영향을 받았습니다.
최근 발견된 감염 앱
2024년 9월, 카스퍼스키 연구진이 1100만 번 이상 다운로드된 두 개의 앱에서 동일한 악성코드 패밀리를 발견했습니다.
감염 경로
광고 기능을 통합하기 위한 악성 소프트웨어 개발 키트(SDK)가 원인으로 추정됩니다.
네크로 악성코드의 특징
고급 은닉 기술 사용
스테가노그래피 등 모바일 악성코드에서 보기 드문 기술을 활용해 탐지를 회피합니다.
시스템 권한 상승
일부 변종은 안드로이드의 보안 제한을 우회하여 높은 시스템 권한으로 코드를 실행할 수 있습니다.
모듈식 설계
다양한 페이로드를 조합하여 감염된 기기마다 다른 동작을 수행할 수 있습니다.
감염된 앱 현황
구글 플레이 스토어 내 앱
- Wuta Camera: 1000만 다운로드, 최근 업데이트로 악성 코드 제거
- Max Browser: 100만 다운로드, 현재 스토어에서 삭제됨
대체 앱마켓의 감염 앱
Spotify, Minecraft, WhatsApp 등 유명 앱의 변조 버전으로 위장한 앱들이 발견되었습니다.
결론
네크로 악성코드의 재등장은 안드로이드 생태계의 보안 취약점을 다시 한 번 보여줍니다. 사용자들은 공식 앱 스토어에서도 주의가 필요하며, 개발자들은 제3자 SDK 사용 시 각별한 주의가 요구됩니다. 앱 스토어 운영자들 역시 악성코드 탐지 시스템을 강화해야 할 것입니다.