안드로이드 악성앱을 제작해 유포하는 모바일 백신 등의 탐지회피를 위해서 정교하게 변종을 개발해 지속적으로 유포를 시도하고 있다. 최근 악성앱을 육안으로 쉽게 발견하지 못하게 숨기거나 수동으로 삭제하지 못하도록 기기 관리자 기능을 역이용하고 있어 이용자들의 각별한 주의가 필요하다.
 
잉카인터넷 대응팀 관계자는 “최근 국내 이용자들에게 유포 중인 안드로이드 소액결제사기용 악성앱의 가장 큰 변화는 스미싱 과정을 통해서 설치시 기기 관리자 실행화면을 보여주고 유도해, 설치 후 악성앱 수동삭제가 어렵도록 방해하고 있다”고 밝히고 “최근 발견되는 악성앱들은 대부분 문자메시지 탈취 기능은 기본적으로 가지고 있고 녹음기능과 위치정보 등을 감시하는 것들이 일반화되고 있을 정도로 악성화되고 있는 경향이 커지고 있어 안드로이드 스마트폰 이용자들은 세심한 관심과 주의가 요망된다”고 주의를 당부했다.

 
실제 모빌리언스 앱처럼 아이콘과 내용을 위장한 악성앱은 이용자의 민감한 정보를 모두 수집하고 있으며 실행시 설치된 아이콘을 사라지게 하기 때문에 이용자가 악성앱을 찾아내기가 쉽지 않다고 한다.
 
더욱이 설치된 악성앱들은 기기관리자 권한 획득을 통해서 사용자가 직접 강제중지 및 삭제를 하지 못하도록 해당 기능의 버튼을 모두 비활성화시킨다. 따라서 이용자가 직접 수동으로 강제종료 및 제거가 어려워지게 된다.
 
또 해당 악성앱들의 변종이 매우 다양하게 발견되고 있기 때문에 이용자들은 수동으로 발견 및 조치가 거의 불가능에 가깝다. 삭제를 진행하기 위해서는 다음과 같은 과정을 진행한다.
 
◇디바이스 관리 직접 해제: 갤럭시S3 ICS OS 이며 악성앱을 알고 있는 기준
-환경설정 -> 보안 -> 디바이스 관리자 -> 악성앱 V 체크 해제 -> 해제 -> 확인
-환경설정 -> 애플리케이션 관리 -> 악성앱 탐색/선택 -> 강제 중지 및 삭제
 
◇nProtect Mobile for Android 제품을 이용하는 경우: 악성앱 탐지된 경우 기준
① 기기 관리자 권한으로 인해서 강제중지 및 삭제 버튼이 비활성화되어 수동삭제가 불가능하기 때문에 nProtect Mobile for Android 제품을 설치해서 최신버전으로 업데이트한다.
② nProtect Mobile for Android 제품에서 악성앱을 탐지한 경우 해당 목록을 클릭하여 삭제를 진행한다.
③ [기기 관리자 관리] 버튼을 클릭한다.
④  악성앱 이름의 V 체크박스를 해제한다.
⑤ 기기 관리자 화면에서 [해제]버튼을 클릭한다.
⑥ 메시지 창이 나오면 [확인] 버튼을 클릭한다.
⑦ 다시 악성앱 탐지화면에서 삭제를 한번 더 실행하면 제거 화면이 나오고 [확인]버튼을 클릭한다.
⑧ 악성앱을 정상적으로 제거완료할 수 있다.
 
대응팀 관계자는 “이러한 사기와 범행에 노출되지 않기 위해서는 음란한 광고성 문구에 현혹되지 말아야 하며 안드로이드 악성앱에 감염되지 않도록 공식적인 앱 마켓 외에서는 안드로이드 앱을 가급적 설치하지 않도록 하는 보안습관이 중요하다”며 “더불어 최근 보안전문업체에서 공개한 무료 스미싱 앱들을 설치해 두면 악성앱과 스미싱을 예방하는데 도움을 받을 수 있을 것”이라고 밝혔다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com