"페이스북 믿었건만"...1만명 이상 계정 털렸다

하순명 기자
입력 2021.08.10 19:07
페이스북 로그인을 유도해 수천 개의 페이스북 계정을 탈취한 안드로이드 앱이 발견됐다고 더해커뉴스가 9일(현지시각) 전했다.

더해커뉴스의 보도에 따르면 안드로이드 트로이 목마가 2021년 3월 이후 최소 144개국에서 1만명 이상의 페이스북 계정을 훼손한 것으로 밝혀졌다. 해당 앱은 구글 플레이스토어를 비롯한 타사 앱 마켓플레이스를 통해 배포돼 주의가 요구된다.

외신은 엔터프라이즈 모바일 보안 전문 기업 짐페리움(Zimperium)의 발표를 인용해 이전에 보고되지 않았던 이번 악성코드는 베트남에서 활동하는 악의적인 해커가 사회 관계망을 활용한 일종의 트로이 목마인 것으로 추정된다고 전했다.

아짐 야스완트 짐페리움의 악성코드 연구원은 구글 플레이에서 문제가 되는 9개의 애플리케이션을 제거했지만, 여전히 타사 앱 스토어에서 사용할 수 있다고 경고하며 앱 목록을 공개했다.

- GG Voucher (com.luxcarad.cardid)
- Vote European Football (com.gardenguides.plantingfree)
- GG Coupon Ads (com.free_coupon.gg_free_coupon)
- GG Voucher Ads (com.m_application.app_moi_6)
- GG Voucher (com.free.voucher)
- Chatfuel (com.ynsuper.chatfuel)
- Net Coupon (com.free_coupon.net_coupon)
- Net Coupon (com.movie.net_coupon)
- EURO 2021 Official (com.euro2021)

악성 앱에서 쿠폰 등을 제공하며 사용자 참여를 유도하고 있다. / 더해커뉴스
악성 앱은 6월 11일부터 7월 11일까지 진행된 유럽축구연맹(UEFA) 유로 2020에서 넷플릭스와 구글 애드워즈 쿠폰 코드를 제공하며, 가장 좋아하는 팀과 선수에게 투표하려면 페이스북에 로그인할 것을 강요하는 과정에서 개인정보를 수집하는 방식으로 진행됐다.

사용자가 페이스북으로 로그인하면 악성코드는 피해자의 페이스북 ID, 위치, 이메일 주소, IP 주소, 페이스북 계정과 연결된 쿠키 정보 등을 빼냈다. 이렇게 탈취한 피해자의 정보는 트로이 목마 링크가 포함된 개인 메시지를 작성하는데 활용돼 사회관계망을 통해 악성 프로그램으로 퍼져나갔다.

야스완트 연구원은 여기에 자바스크립트 주입 기술이 사용됐다며 "애플리케이션은 자바스크립트 코드를 주입할 수 있도록 구성된 웹뷰 내에 있는 합법적인 URL에 악성 코드를 주입해 쿠키, 사용자 계정 상세 정보, 위치, IP 주소 등 필요한 모든 정보를 추출한다"고 설명했다.

그는 일반인들이 신뢰하는 도메인에 로그인하는 것이 항상 안전하다는 일반적인 오해를 악용했다는 점을 지적했다.

하순명 기자 kidsfocal@chosunbiz.com


T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기