BMI 계산 앱이 휴대폰에 얼마나 많은 피해를 줄 수 있을까요? 사실 문제는 앱 자체가 아니라 코드 내부에 숨겨진 위험 요소를 주의해야 한다는 점입니다. 아마존 앱스토어에 업로드된 한 앱은 그 안에 정말 파괴적인 코드를 가지고 있었는데, 개발자가 제대로 작성하지 않았다면 심각한 문제가 되었을 것입니다.
맥افي, 아마존 앱스토어에서 BMI 앱 내부의 스파이웨어 발견
맥افي의 관찰 결과에 따르면 이 악랄한 애플리케이션은 무해하게 보이는 체중지수(BMI) 계산기로 위장하고 있습니다. 실제로 설치하면 앱은 광고된 대로 정확히 작동합니다: 사용자는 자신의 키와 몸무게를 입력하고, 앱은 BMI가 건강한 범위에 들어가는지를 알려줍니다.
그럼에도 불구하고 "계산" 버튼을 클릭할 때마다 이례적인 일이 발생합니다. 애플리케이션은 화면 활동을 캡처하도록 허락하라는 권한 요청을 합니다. 이러한 요청의 타이밍을 고려해보면, 악의적 행위자는 사용자의 불안정성을 이용하여 승인을 유도하고 있습니다. 이는 사용자가 신중하게 검토하지 않고 승인하도록 설계된 것입니다.
사용자가 이 권한 요청에 동의하면, 애플리케이션은 대상 기기의 화면 활동을 녹화하기 시작합니다. 이러한 행동은 사용자가 다른 앱들에서 입력하는 민감 정보를 포착하려는 의도로 보입니다. 또한 악성 소프트웨어는 SMS 통신을 가로채(이 경우 2단계 인증 코드를 얻기 위함일 수 있음)고, 대상 기기에 설치된 모든 앱의 목록을 가져올 수 있는 능력을 가지고 있습니다.
이론적으로 이것이 그 기능이었어야 합니다. 하지만 맥افي가 코드를 분석한 결과, 애플리케이션은 데이터 수집과 추출에 필요한 모든 메커니즘을 갖추고 있었지만 실제로 이 정보를 어디로도 전송하지 않았다는 것을 발견했습니다. 사이버 범죄자가 비밀스러운 프로필을 유지하고 다운로드가 더 늘어나면 악성 기능을 활성화하려 했는지, 아니면 단순히 마지막 단계를 구현하는 것을 잊은 것인지 명확하지 않습니다. 어떤 이유에서든 이 앱은 피해를 입기 전에 즉시 제거되었습니다.
이번에는 행운이 따랐지만 모든 악성 애플리케이션이 그렇게 쉽게 발견되고 막히지는 않을 것입니다. 따라서 어떠한 애플리케이션을 다운로드하더라도 그 기능과 관련 없는 권한 요청(예를 들어 BMI 계산기에 화면 녹화 권한)에 동의하지 않는 것이 중요합니다. 결국 이러한 권한을 부여하면 해당 앱으로부터 다양한 형태의 데이터 탈취 위험에 노출될 수 있습니다.