1. 개요
2023년 4월, 대한민국 유명 안드로이드 프로그램 상당수에 대규모로 침투된/발견된 개인정보 침해 애드웨어/멀웨어. 해당 멀웨어를 McAfee가 발견하고 공개하였다.2. 보안사고 원인/동작
소프트웨어 소스코드 내 특정 라이브러리[1]가 프로그램 내에 골도슨 멀웨어가 삽입되어 동작하였다. 효율적인 프로그램 개발을 위해 서드파티 라이브러리를 가져와[2] 사용하는 경우가 많은데, 이를 통해 얼떨결에 악성코드가 흘러들어온 것으로 보인다. 이에 대해 보안 검사를 하지 않고 사용하여 궁극적으로 프로그램 개발자가 적극적으로 멀웨어를 퍼트린 셈이 되었다. 비유하자면, 아무거나 주워 먹었다가 탈난 셈.안드로이드 기반 장비들에 침투된 후, 다양한 악성 행위를 실시할 수 있다. 프로그램이 실행되는 동안 뒤에서, 공격자 서버에 피해 스마트폰을 등록시키고, 불량설정(명령관련 변수)파일들을 다운로드 받는다. 멀웨어 자신의 이름/서버도메인을 바꿔가면서, 개인정보를 빼돌려 원격 서버로 전송하는 행태을 보인다.
프로그램 설치시 권한허용(QUERY_ALL_PACKGES)을 받았기에, 앱은 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근/들춰볼 수 있다. 낮은 버전의 안드로이드의 경우 일괄적으로 정보가 털렸을 것이다.
그 외 특정광고 조회수 부풀리기에 피해자 스마트폰을 참여시키는 등의 짓도 할 수 있다.
3. 경과
- 2023.03.10. 메가박스 프로그램이 Play 프로텍트에 의해 "안전하지 않은 프로그램" 경고가 떴으며#, '광고 사기 시도'로 구글 플레이에서 삭제되었다. 17일 관련 공지가 떴으며#, 4월15일 보안패치된 프로그램이 게시되었다.
- 2023.03.16. Play 프로텍트에 걸리는 프로그램이 증가하고 있었다.# 이런 상황에서 (구글 광고 정책 관련) Play 프로텍트가 오버하는 것 아닌가 의심하는 경우도 있었다.
- 2023.04.12, McAfee가 해당 보안이슈를 게시하였다.#
- 이후, 해당되는 프로그램들이 프로그램 마켓(구글플레이, 원스토어 등)에서 삭제되었다. 그 후 수정/보완된 프로그램이 다시 게시되었다.
- 2023.04.18, 국내에도 골도슨 멀웨어가 알려졌고#, 감염된 프로그램 목록이 온라인상에서 공유되기 시작한다.#
4. 감염 사례
mcafee 출처. 대부분의 프로그램은 업데이트 되었다. 프로그램 마켓에서 내려간 프로그램(Removed)은 일일이 삭제해야 한다.- 10M 이상 다운로드
- L.POINT with L.PAY / 롯데시네마 / LOTTE WORLD Magicpass / 롯데월드타워 서울스카이 / 롯데월드 아쿠아리움 / 롯데워터파크
- TMAP / T map for KT, LGU+Removed
- 지니뮤직
- Swipe Brick BreakerRemoved
- Money Manager Expense & Budget
- 5M 이상 다운로드
- 컬쳐랜드 / 컬쳐플러스:컬쳐랜드 혜택 더하기
- GOM Player / GOM Audio / 곰TV / GOM Audio Plus
- 메가박스Removed
- LIVE Score, Real-Time Score
- PikicastRemoved
- 1M 다운로드 / 내려간 프로그램(Removed)만 추림
- Compass 9: Smart CompassRemoved
- 아이템매니아 – 게임 아이템 거래Removed
- Bounce Brick BreakerRemoved
- Infinite SliceRemoved
- SomNote – Beautiful note appRemoved
- GOODTV다번역성경찬송Removed
- UBhind: Mobile Tracker ManagerRemoved
- 스피드 운전면허 필기시험Removed
- CU편의점택배Removed
- 10만 미만 - 생략
5. 관련 문서
[1] 어떤 라이브러리/SDK인지는 밝혀지지 않았다.[2] 전문업체(혹은 광고대행사)로부터 구매할 수도 있고, 오픈소스 라이브러리를 차용할 수도 있고, 소스코드를 Stack Overflow에 물어봤을 수도 있는 등 케이스 바이 케이스.