Agent Smith는 전세계적으로 2천 5백만 대의 안드로이드 기기를 감염시켜 모바일 앱 세상을 휩쓴 새로운 멀웨어로 등장했습니다. 보안 회사 Check Point는 2016년 1월부터 발견되지 않았던 영화 Matrix Antagonist에서 영감을 얻은 새로운 멀웨어를 발견하였고, 이후 9Apps와 같은 다양한 배포 채널을 통해 퍼졌습니다. 9Apps의 boobytrapped 앱을 통한 배포부터 시작하여 구글 플레이에 나타나는 다양한 아바타로 변형되었습니다. 멀웨어에 감염된 두개의 앱이 천만 다운로드를 돌파한 사실만으로도 그 피해 범위와 금전적인 손상을 가늠해 볼 수 있습니다.
동작 모드
Agent Smith는 특유의 방법으로 앱을 감염시키고 은닉 작업 모드를 통해서 쉽게 노출되지 않습니다. Janus, Bundle 및 Man-in-the-Disk와 같이 잘 알려진 안드로이드 취약성을 악용하여 다단계 감염 프로세스를 초기화하고, 사용자도 모르게 합법적으로 만들어진 앱을 손상시킵니다. 사용자의 모바일 디바이스에 설치된 앱은 사용자가 별도의 명령을 실행하지 않아도 악성 코드가 삽입된 버전으로 대체됩니다.
Agent Smith의 운영방식은 감염된 앱이 다른 앱과 마찬가지로 앱 런처 화면에 아이콘을 표시하지 않고 WhatsApp과 같은 인기있는 애플리케이션을 가장하여 실행되도록 합니다. 이러한 방식으로 매우 광범위하게 영향을 미치게 합니다. 소스 앱의 기본 APK를 추출한 후, 멀웨어는 악성 모듈을 삽입하고 이후 감염된 APK를 구글 플레이의 업데이트를 통하여 디바이스에 다시 설치합니다.
감염 과정
이 악성 프로그램의 배후에 존재하는 팀은 게임 및 성인 테마 앱의 숨겨진 악성 코드를 악용하였습니다. 사용자가 악성코드가 숨겨진 앱을 다운로드하면, 감염된 앱이 Agent Smith 멀웨어가 포함된 다른 APK를 가져옵니다. Agent Smith가 설치된 후, 해당 디바이스내에 이미 설치된 앱을 검색하고, 앱 목록을 대조하여 감염된 복사본으로 교체합니다. 이 프로세스는 앱의 MD5 파일 해시에 영향을 주지 않으면서 악성 코드가 합법적인 앱에 삽입될 수 있도록 지원하기 위해서 매우 복잡하게 만들어 졌습니다. Agent Smith는 감염된 앱의 업데이트를 시작하고 향후의 모든 앱 업데이트를 차단하여 사용자 디바이스에서의 위치를 확고히 합니다.
Agent Smith는 디바이스 전체를 손상시킵니다. 해커는 금전적인 이익을 위해 가짜 클릭을 유도하거나 사기성 광고를 표시합니다. 이러한 행위는 장기적으로 앱의 잠재적 수익 및 합법적 수익을 해칠 수 있습니다. 감염된 앱이 이미 서버를 통해 게재한 광고에 대해서 더 많은 광고를 표시하거나 크레딧을 도용하게 됩니다. 멀웨어는 개인 식별 정보 및 금융 거래 데이터와 같은 민감한 정보를 훔치기 위해 쉽게 확장 될 수 있습니다.
소스 및 영향 지점
Check Point에 따르면 Agent Smith의 출처는 개발자가 해외 플랫폼에 앱을 게시할 수 있도록 도와주는 중국 광저우에 있는 한 회사로 추적된다고 밝혔습니다. 발생하는 피해는 지금까지 최소화 되었지만 뱅킹 자격 증명 도용 및 도청 시작과 같이 손상된 앱은 더 성가시고 해로운 것으로 판명 되었습니다. Check Point 리서치 팀이 조사 결과를 구글에 제출하였고, 현재는 모든 악성 앱이 플레이 스토어에서 제거되었습니다. 이를 통한 메시지는 명확하고 분명합니다 : 앱실링과 같은 견고한 보안 프레임 워크를 구현하지 않으면, 비즈니스가 심각한 위험에 처한다는 사실입니다.
앱실링의 강력한 보안 프레임 워크
애자일 개발주기가 시작되면서 개발자는 정기적으로 강력한 보안 조치를 적용하여 최신 패치를 통해서 앱을 항상 최신 상태로 유지해야 합니다. 이러한 과정을 통해서 Agent Smith와 같은 새로운 위협 요소로부터 소중한 고객을 보호할 수 있습니다.
앱실링과 같은 도구는 치트툴 및 멀웨어로부터 앱을 보호하는데 매우 유용합니다. 멀웨어의 공격으로부터 안전하게 보호하는 가장 좋은 방법은 “Hygiene First” 접근 방식을 채택하는 것입니다. 앱실링은 코드 보안에 대한 추가 노력없이 안티 디버깅 및 안티 디컴파일, 무결성 보호, 치트툴 탐지 등과 같은 런타임 애플리케이션 자가 보호(RASP) 기능을 제공합니다.
앱실링을 통해 코드를 보호함으로써 개발팀은 치명적인 보안 위협 환경에서도 비즈니스에 민감한 앱을 보호하고 고객의 신뢰를 유지할 수 있습니다. 앱실링과 다른 보안 도구와의 차별점은 개발된 코드 베이스와 보안 계층과의 통합을 수분 내에 완벽히 수행할 수 있다는 것입니다. 또한 앱실링은 앱 성능에 영향을 끼치지 않습니다.