안드로이드 스마트폰의 접근성 서비스를 악용해 기기 제어권을 탈취하는 신종 악성코드가 발견됐다. '오블리비언'으로 불리는 이 악성코드는 월 구독형으로 판매되며 2단계 인증 코드까지 가로챌 수 있어 심각한 금융 피해가 우려된다.
IT 전문매체 테크레이더는 28일(현지시간) 보안업체 체르토(Certo)의 분석을 인용해 신종 안드로이드 악성코드 '오블리비언'이 다크웹에서 판매된다고 보도했다. 이 악성코드는 월 구독료 300달러(약 43만원)부터 시작하며 안드로이드 8부터 16 버전까지 다양한 기기를 표적으로 삼는다.
오블리비언의 가장 큰 특징은 안드로이드 운영체제의 '접근성 서비스'를 악용한다는 점이다. 접근성 서비스는 장애가 있는 사용자를 돕기 위해 만든 기능이지만 악성코드가 이 권한을 획득하면 기기의 거의 모든 기능을 제어할 수 있다.
일반적으로 민감한 권한을 요구할 때 안드로이드 시스템은 사용자에게 수동 승인을 요청한다. 하지만 오블리비언은 이 과정을 자동으로 승인하도록 조작해 사용자가 인지하지 못하는 사이에 기기 제어권을 장악한다.
일단 활성화되면 악성코드는 SMS 메시지, 푸시 알림, 키보드 입력 기록 등을 실시간으로 감시하고 탈취한다. 특히 금융 거래나 계정 로그인에 사용되는 2단계 인증(2FA) 코드까지 가로챌 수 있어 심각한 금융 피해로 이어질 수 있다.
또한 공격자는 원격으로 앱을 설치하거나 삭제할 수 있으며 탈취한 인증 정보를 이용해 잠긴 기기를 풀 수도 있다. 공격자가 원격으로 기기를 조작하는 동안 사용자 화면에는 가짜 시스템 오버레이 화면을 띄워 조작 사실을 숨기는 기능도 포함했다.
체르토에 따르면 오블리비언은 기술적 취약점 공격보다 공식 앱스토어 외부에서 앱을 설치하도록 유도하는 사회 공학적 기법에 주로 의존한다. 공격자는 합법적인 업데이트 알림으로 위장한 설치 파일이나 원하는 이름과 아이콘으로 악성 앱을 생성하는 도구를 함께 제공받는다.
보안 전문가들은 플랫폼 수준의 보안에 대한 우려를 제기했다. 구글이 접근성 서비스 악용을 막기 위해 꾸준히 제한을 강화했지만 최신 안드로이드 버전까지 뚫린다는 주장이 나왔기 때문이다. 전문가들은 사용자들이 비공식 경로로 앱을 설치하거나 불필요한 접근성 권한을 부여하지 않도록 각별히 주의해야 한다고 당부했다.