Judy 안드로이드 멀웨어, 3,650만 구글 플레이 스토어 사용자들 감염시켜

Judy 안드로이드 멀웨어, 3,650만 구글 플레이 스토어 사용자들 감염시켜

Judy Android Malware Infects Over 36.5 Million Google Play Store Users

보안 연구원들이 구글 플레이 스토어에서 역사상 가장 규모가 큰 멀웨어 캠페인이 발견되었습니다. 이미 3,650만 안드로이드 기기들을 이 악성앱에 감염된 것으로 확인되었습니다. 

국내 회사인  Kiniwini에서 개발 되었고, ENISTUDIO Corp.에서 퍼블리싱 된 이 앱은, 광고들로부터 수익을 창출해내기 위해서 가짜 클릭을 생성하는데 사용되었습니다. 

이 악성코드가 포함된 41개 이상의 앱은 구글 플레이스토어에 등록되어 있었으며, 동일한 악성코드가 포함된 다른 개발자들이 개발한 다른 앱 몇개도 확인되었습니다. 이 두 악성코드 캠페인간의 연결고리는 명확하지 않지만, 한 개발자가 “고의로, 또는 알지 못하는 상태에서 다른 개발자로부터 코드를 빌려온 것으로 추측됩니다. 

플레이스토어에서 다운로드 가능한 앱들에는 구글 Bouncer 보호기능을 우회하는 악성 코드가 포함되어있지 않았습니다. 이 악성코드가 포함된 앱이 사용자 디바이스에 설치되면, 사용자의 기기를 악성 C&C 서버에 등록하고, 응답으로 실제 악성 프로세스를 시작하는 JavaScript를 포함한 실제 악성 페이로드를 내려 받습니다.

이 악성코드는 PC 브라우저를 모방한 사용자 에이전트를 사용해 숨겨진 웹페이지에서 URL을 오픈하며, 다른 웹사이트로 리디렉트 됩니다. 일단 타겟 웹사이트가 실행 되면, 멀웨어는 JavaScript 코드를 사용해 구글 광고 인프라의 배너를 클릭합니다. 이 악성 앱들은 실제 정식 게임이지만, 백그라운드에서는 희생양의 기기에서 애드웨어 서버로 연결하는 브릿지 역할을 합니다. 일단 연결이 생성 되면, 악성 앱들은 사용자 에이전트에 스푸핑해 페이지를 열고 클릭을 생성하기 위해 그들을 데스크탑 브라우저로 위장합니다. 

아래는 Kiniwini에서 개발한 악성 앱들의 목록이며, 이들 중 하나라도 기기에 설치 되었다면 즉시 삭제하는 것이 좋습니다.

Fashion Judy: Snow Queen style

Animal Judy: Persian cat care

Fashion Judy: Pretty rapper

Fashion Judy: Teacher style

Animal Judy: Dragon care

Chef Judy: Halloween Cookies

Fashion Judy: Wedding Party

Animal Judy: Teddy Bear care

Fashion Judy: Bunny Girl Style

Fashion Judy: Frozen Princess

Chef Judy: Triangular Kimbap

Chef Judy: Udong Maker – Cook

Fashion Judy: Uniform style

Animal Judy: Rabbit care

Fashion Judy: Vampire style

Animal Judy: Nine-Tailed Fox

Chef Judy: Jelly Maker – Cook

Chef Judy: Chicken Maker

Animal Judy: Sea otter care

Animal Judy: Elephant care

Judy’s Happy House

Chef Judy: Hotdog Maker – Cook

Chef Judy: Birthday Food Maker

Fashion Judy: Wedding day

Fashion Judy: Waitress style

Chef Judy: Character Lunch

Chef Judy: Picnic Lunch Maker

Animal Judy: Rudolph care

Judy’s Hospital: Pediatrics

Fashion Judy: Country style

Animal Judy: Feral Cat care

Fashion Judy: Twice Style

Fashion Judy: Myth Style

Animal Judy: Fennec Fox care

Animal Judy: Dog care

Fashion Judy: Couple Style

Animal Judy: Cat care

Fashion Judy: Halloween style

Fashion Judy: EXO Style

Chef Judy: Dalgona Maker

Chef Judy: ServiceStation Food

Judy’s Spa Salon

이 앱들 중 적어도 하나는 작년 4월 플레이스토어에서 마지막으로 업데이트 되었습니다. 이는 악성 앱이 1년 이상 확산되어왔다는 것을 의미합니다.

구글은 위의 앱들을 구글 플레이스토어에서 모두 삭제했지만, 구글 Bouncer는 공식 스토어로부터 악성 앱들을 퇴출시킬 수 있을 만큼 충분히 안전하지 않기 때문에, 앱을 다운로드 할 때는 매우 주의하는 것이 좋습니다. 

현재 알약 안드로이드에서는 해당 앱들에 대하여 Adware.Android.Dowgin 로 탐지하고 있습니다. 

출처 : 

http://thehackernews.com/2017/05/android-adware-malware.html