'시스템 업데이트'(System Update)라는 이름이 붙은 안드로이드 스마트폰용 스파이웨어가 구글의 공식 앱장터 '구글 플레이 스토어'를 통해 몇 년간 버젓이 배포돼 온 사실이 뒤늦게 드러났다.
6일 보안전문기업 지스케일러(Zscaler)에 따르면 이 스파이웨어는 구글 플레이 스토어에 2014년 올라와 최근까지 배포됐으며, 지금까지 100만명∼500만명이 이를 내려받았다.
이 스파이웨어는 구글 플레이에서 2014년 12월에 마지막으로 업데이트됐으며, 구글은 최근 지스케일러로부터 신고를 받은 후에야 이 앱을 플레이 스토어에서 삭제했다.
이 앱은 제목이 '시스템 업데이트'일뿐만 아니라 "이 애플리케이션은 특수한 위치 기능을 업데이트하고 사용 가능하도록 합니다"라는 설명도 달려 있다. 이 탓에 최신 안드로이드 업데이트를 제공하는 앱이라고 착각하고 내려받은 사용자들이 많았다.
지스케일러가 이 앱을 분석한 결과 이 앱은 사용자 정보를 빼내 원격으로 전송하는 기능을 포함하고 있으나 이에 대한 설명은 없었던 것으로 드러났다.
또 사용자가 이 앱을 시작하려고 시도하면 갑자기 "불행하게도 업데이트 서비스가 중단되었습니다"라는 메시지가 나오면서 앱 실행이 중단되고 메인 화면에서 이 앱의 모습이 보이지 않게 되는 것으로 드러났다.
스스로 모습을 감추고 위치 정보와 문자메시지 정보를 훔쳐내 전송하는 스파이웨어라는 얘기다.
이 스파이웨어는 문자메시지의 속성과 예외 처리 생성 등 교묘한 수법을 이용하기 때문에 40여개의 바이러스 엔진으로 악성코드 해당 여부를 검사하는 구글의 '바이러스토털' 등 서비스로도 탐지되지 않는 것으로 알려졌다. 지스케일러는 이 스파이웨어에 'SMS보바'(SMSVova)라는 별명을 붙였다.
solatido@yna.co.kr
