본문 바로가기
<정보 및 지식>/◈ 컴퓨터 & IT

포켓몬 GO! 악성코드 GO?!

by 파스칼바이런 2016. 8. 3.

포켓몬 GO! 악성코드 GO?!

AhnLab / 2016-07-27

 

 

 

 

증강현실(Augmented Reality, AR) 기반 게임 ‘포켓몬 GO’가 전세계적으로 폭발적인 인기를 끌고 있는 가운데, 이와 관련된 사건•사고 소식도 연일 끊이지 않고 있다. 최근에는 공식 스토어를 이용하지 않고 설치한 이 게임의 파일 내부에 악성코드가 포함되어 유포된 사례가 발견돼 사용자들의 각별한 주의가 요구된다.

 

포켓몬 GO는 구글의 스타트업 회사인 ‘나이앤틱’이 개발해 지난 7월 6일 미국과 오스트리아를 시작으로 전세계 총 35개국에 정식 출시됐다. 현재 국내 포켓몬 GO 이용자 수는 100만 명을 넘었다. 그러나 한국은 아직 공식 서비스 국가가 아니기 때문에 해외 스토어를 이용하는 일부 이용자 외에는 대부분 공식 스토어가 아닌 인터넷 상의 APK 파일을 직접 다운받아 이용하고 있는 실정이다.

 

 

[그림 1] 포켓몬 GO 공식홈페이지

 

 

그런데 최근 인터넷 상에서 유포되고 있는 포켓몬 GO의 APK 파일에 악성코드가 포함된 사례가 잇따라 발견됐다. 해당 게임 개발사에서도 게임 다운로드는 공식 스토어를 이용할 것을 당부하고 있는 상황이다.

 

 

[그림 2] 포켓몬 GO 트위터 내용

 

 

유포된 악성 APK 파일은 포켓몬 GO를 정상적으로 설치하기는 하지만, 스마트폰의 정보를 유출해가는 악성 기능을 갖고있다. 내부 패키지명을 확인해보면, 드로이드잭(DroidJack)이라 불리는 안드로이드 RAT 악성코드임을 알 수 있다. 즉, 감염된 안드로이드 단말기를 공격자 마음대로 제어할 수 있는 해킹툴이다.

 

 

[그림 3] 포켓몬 GO 정상 APK에 추가된 클래스

 

 

안드로이드는 애플리케이션 설치 시 사용자에게 해당 애플리케이션이 사용하는 특정 권한에 대한 동의 여부를 묻는데, ‘악성 포켓몬 GO’는 게임과 관련 없는 권한을 요구하고 있다. 해당 악성코드는 SMS 탈취, 주소록 탈취, 통화내역 탈취, GPS 정보 탈취, 단말기 내 파일 탈취, 애플리케이션 실행 및 제어, 마이크를 이용한 도청 및 녹음 등의 기능을 수행한다.

 

악성 포켓몬 GO에 감염되면 사용자는 스마트폰 내 모든 정보를 탈취 당하고 공격자로부터 시스템이 제어된다. 탈취된 스마트폰 내 주요 정보들은 암호화를 거쳐 C&C로 전송되며, 공격자는 감염된 시스템을 제어하는 드로이드잭 콘솔을 통해 해당 정보들을 손쉽게 획득할 수 있다.

 

 

[그림 4] 악성 포켓몬 GO APK의 권한 획득 과정

 

 

사실 포켓몬 GO APK 파일을 이용한 악성코드는 그리 놀랄만한 일은 아니다. 악성코드 제작자들은 항상 많은 사람들이 관심을 갖는 것을 이용해 악성코드를 유포한다. 또 이번 사례와 같은 안드로이드 RAT 악성코드는 과거부터 현재까지 지속적으로 유포되고 있다. 안드로이드의 특성상 APK 파일을 외부 경로를 통해 쉽게 다운로드 및 설치할 수 있어 정상 애플리케이션으로 위장한 악성코드에 감염될 가능성이 높다.

 

 

[그림 5] 정상 애플리케이션으로 위장한 드로이드잭

 

 

아직 국내에서 정식 서비스가 제공되지 않기 때문에 웹 사이트 등을 통해 포켓몬 GO의 APK 파일을 다운로드하여 이용할  경우 불법 게임 다운로드가 문제될 수 있다. 그러나 더 큰 문제는 이번 사례처럼 해당 게임으로 위장한 악성코드에 감염되어 상당한 피해를 입을 수 있다는 점이다.

 

이번 경우가 아니더라도 스마트폰 앱을 설치할 때는 반드시 공식 스토어를 이용해야 하며, 안전성이 검증되지 않은 APK 파일은 절대 설치하지 않도록 해야 한다.

 

한편 V3 제품은 해당 악성코드를 아래와 같은 진단명으로 탐지하고 있다.

 

<V3 제품군의 진단명>

Android-Trojan/Sandrorat(2015.01.17.01)