보안 소프트웨어 업체인 시만텍(Symantec)에 따르면 구글 플레이 스토어에서 제공되는 마인크래프트 앱에서 악성 코드가 발견됐다고 한다.
시만텍 연구진은 해당 멀웨어가 삭봇(Sockbot) 트로이 목마라고 말하며, 현재까지 8개 앱을 감염시켰고 영향을 받은 기기는 60만~260만 개에 이를 것이라고 발표했다. 주로 피해를 입었을 것으로 예상되는 사람은 미국 내 사용자지만, 브라질, 독일, 러시아, 우크라이나의 사용자도 포함된다.
"이 응용 프로그램의 원래 목적은 마인크래프트 포켓 에디션에서 캐릭터 모양을 바꾸는 스킨이다. 하지만 그 이면에 정교하고 잘 위장된 공격이 숨어있다. 우리는이 맬웨어에 대한 네트워크 분석을 설정하고 관찰했다. 공격 활동은 대부분 불법 광고 수익을 창출하기 위한 것이었다"고 시만텍은 자사의 블로그 사이트에 고지했다.
보안 연구진은 해당 앱이 명령 및 제어 서버, 봇넷의 구성원에게 명령을 내리는 컴퓨터, 명령을 수신하는 포트 9001에 연결됐다고 생각한다. C&C 서버는 앱이 보안 소켓을 사용하여 소켓을 열고 특정 포트에서 특정 인터넷 프로토콜 주소로부터 연결되길 기다린다. 앱이 요청괸 대상 서비스에 연결되면 광고 목록 및 광고 유형, 화면 크기 등과 관련된 메타 데이터가 수신되고 광고 서버에 연결하도록 명령한다. 그러면 광고 요청이 시작된다.
그러나 연구진은 앱에 사용된 네트워크 시스템이 다른 알려지지 않은 목적으로 모바일 장치를 감염 및 손상시키는 데 사용될 기능은 아직 없다고 말했다.
시만텍은 "이처럼 고도로 유연한 프록시 토폴로지는 다양한 네트워크 기반 취약성을 활용해서 쉽게 확장될 수 있으며 추후에 단순히 광고 활동이 아니라 더 위험한 보안 위협이 될 수 있다"고 경고했다.