【 청년일보 】 정상 애플리케이션으로 위장해 설치된 뒤 이용자 몰래 악성 행위를 수행하는 안드로이드 악성코드 '원더랜드(Wonderland)'가 확산되고 있다. 단순 정보 탈취를 넘어 감염 기기를 원격 제어하며 실시간 금융사기까지 가능하다는 점에서 보안 업계의 경고가 커지고 있다.

25일 글로벌 보안 기업 그룹-IB(Group-IB)의 분석에 따르면, 원더랜드는 정상 앱처럼 보이는 '드로퍼(dropper)'를 통해 최초 침투한 뒤 실제 악성 페이로드를 추가로 실행하는 방식으로 동작한다. 설치 즉시 악성 행위를 수행하는 기존 트로이목마 APK와 달리, 초기에는 정상 앱으로 위장해 보안 점검과 정적 분석을 회피한다는 것이 특징이다.

이 같은 방식은 네트워크 연결 없이도 악성코드 설치가 가능해 탐지 난도가 높다. 보안 솔루션의 초기 검증 단계를 통과한 뒤, 사용자 환경에서 악성 기능이 활성화된다.

원더랜드의 핵심 위험 요소는 공격자와의 양방향 통신 구조다. 공격자는 실시간 명령을 통해 문자메시지(SMS)와 일회용 비밀번호(OTP) 탈취, USSD 명령 실행, 연락처 및 통화 기록 수집, 알림 숨김, 추가 문자 발송 등을 수행할 수 있다. 이를 통해 금융 인증 절차를 우회하고 자금을 탈취하는 것은 물론, 감염된 스마트폰을 2차 공격의 거점으로 활용할 수 있다.

공격 인프라로는 메신저 '텔레그램'이 적극 활용되고 있는 것으로 확인됐다. 사용자가 권한을 허용할 경우, 공격자는 피해자의 전화번호를 이용해 텔레그램 계정을 탈취하고 해당 계정의 대화 목록과 연락처를 기반으로 악성 앱을 추가 유포한다. 실제로 다크웹에서는 탈취된 텔레그램 계정이 거래되며 공격에 활용되고 있는 것으로 나타났다.

보안 업계는 원더랜드 외에도 '넥서스루트(NexusRoot)', '프로그블라이트(ProgBrite)' 등 유사한 안드로이드 악성코드가 동시에 확산 중이라고 경고한다. 이들 역시 정상 앱을 가장하거나 OTP·결제 정보를 노리는 방식으로 진화하고 있다.

이와 관련해 보안 업계에서는 단순한 악성코드 기술의 진화가 아니라, 안드로이드 해킹이 완전히 플랫폼화된 범죄 비즈니스로 전환됐음을 보여주는 신호로 보고 있다. 이에 공식 앱 마켓 외 설치 금지와 권한 관리에 대한 이용자 주의가 어느 때보다 중요하다고 제언했다.
 

【 청년일보=조성현 기자 】