테크크런치, 데일리메일 등 복수 외신은 사이버 보안 기업 이셋(ESET)의 조사 결과를 인용, 인기 안드로이드 앱 ‘iRecorder — Screen Recorder’가 사용자를 몰래 감시한 사실을 보도했다.
‘iRecorder — Screen Recorder’는 앱 업데이트와 동시에 악성 코드를 주입했다. 이셋 연구팀은 악성 코드가 15분마다 기기의 마이크에서 1분 분량의 주변 오디오를 몰래 업로드하고 사용자의 휴대폰에서 문서, 웹 페이지 및 미디어 파일을 빼내도록 했다고 설명했다. 지금까지 앱이 감시한 사용자는 5만 명에 육박하는 것으로 알려졌다.
연구팀은 해당 악성코드를 ‘AhRat’라고 지칭했다. 연구팀은 AhRat가 오픈소스 원격 접근 트로이 목마인 AhMyth의 맞춤 설계 버전이라고 설명했다. 원격 접근 트로이 목마는 피해자 기기의 폭넓은 접근 권한을 이용해 종종 원격 제어도 실행한다. 심지어 스파이웨어, 스토커웨어와 비슷한 기능을 실행하기도 한다.
AhRat를 발견한 이셋 보안 연구원 루카스 스테판코(Lukas Stefanko)는 공식 블로그를 통해 ‘iRecorder — Screen Recorder’가 2021년 9월, 처음 출시되었을 당시에는 악성 기능이 없었다고 설명했다.
그러나 수년 뒤 기존 사용자에게 앱 업데이트 사항을 배포하면서 AhRat 코드를 주입했다. 또, 신규 사용자가 구글 플레이에서 직접 앱을 다운로드할 때도 기기에 악성 코드를 심었다. 악성코드 주입 후 사용자의 마이크에 몰래 접근하고는 기기 데이터를 멀웨어 작동 세력이 관리하는 서버에 업로드하였다.
악성 코드를 주입한 이의 정체와 악성 코드 주입 동기 모두 정확히 밝혀지지 않았다. 다만, 스테파노 연구원은 악성 코드 주입 행위가 대대적인 감시 작전의 일환일 가능성을 제기했다.
한편, 이셋 연구팀의 보고 이후 ‘iRecorder — Screen Recorder’는 구글 플레이에서 삭제되었다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[김대선 칼럼] 생(生)의 찬란한 동행과 사(死)의 품격 있는 갈무리](/news/data/2025/12/31/p1065594030678023_224_h.png)
