최근 새로운 안드로이드 악성코드가 발견되었는데, 여러 안드로이드 태블릿 기종에 사전 설치(preinstalled)된 채로 출하되어, 기기에서 실행되는 모든 모바일 앱을 조작할 수 있는 것으로 드러났다.

보안업체 카스퍼스키(Kaspersky)는 이 악성코드를 ‘Keenadu(키나두)’라 명명했으며, 현재 유럽, 일본, 브라질 등 전 세계 약 1만 3천 대 이상의 기기에서 감염 사례를 확인했다고 밝혔다.

일부 경우에는 이 악성코드가 태블릿의 펌웨어(firmware) 내부에서 발견되었는데, 이는 공급망 과정 중 누군가 악성 코드를 은밀히 삽입했음을 시사한다. 카스퍼스키는 “이 변종은 완전한 기능을 갖춘 백도어로, 공격자가 피해자의 기기를 사실상 무제한으로 제어할 수 있다”고 경고했다.

조사 결과, 감염된 태블릿은 중국 브랜드 ‘알도큐브(Alldocube)’ 제품으로 추적되었다. 이 브랜드는 과거 아마존에서 제품을 판매했으며, 현재는 알리익스프레스(AliExpress)를 통해 유통되고 있다. 카스퍼스키는 2023년 버전의 Alldocube iPlay 50 mini Pro 태블릿 펌웨어를 분석하던 중 안에 Keenadu 백도어가 포함돼 있음을 발견했다.

카스퍼스키는 “놀랍게도, 이후 출시된 모든 펌웨어 버전에서도 동일한 감염이 확인되었다”고 밝혔다. 이는 알도큐브가 2024년 자사 제품이 ‘바이러스 공격’을 받아 무작위로 구글 광고가 표시될 수 있다고 공지한 이후의 펌웨어 버전도 포함된다.

카스퍼스키에 따르면, Keenadu 백도어의 위험성은 매우 높다. 이 악성코드는 기기에 설치된 모든 앱에 감염될 수 있고, 외부 APK 파일에서 아무런 제한 없이 앱을 설치하거나 모든 권한을 부여할 수 있다. 그 결과 기기 내의 사진, 메시지, 은행 계좌 정보, 위치 데이터 등 모든 정보가 탈취될 위험이 있다. 또한 크롬 브라우저의 시크릿 모드에서 입력한 검색 내용까지 모니터링할 수 있다.

이 악성코드는 펌웨어 자체에서 로드되기 때문에 삭제도 어렵다. 펌웨어는 기기의 하드웨어 부팅에 필요한 설정을 저장하는 영역이기 때문이다. 다만, 현재까지 카스퍼스키가 관찰한 바로는 공격자들이 주로 감염된 기기를 봇(bot)으로 활용해 광고 클릭 사기(ad fraud)를 수행하는 데 사용한 것으로 보인다.

카스퍼스키는 또한 다른 제조업체의 일부 기기에서도 이 악성코드가 사전 설치된 정황을 발견했다고 밝혔다. 업체 이름은 공개되지 않았지만 “모든 경우에서 백도어가 태블릿 펌웨어에 삽입되어 있었다”며, 관련 제조사들에게 이 사실을 통보했다고 전했다.

(후략)