상세 컨텐츠

본문 제목

구글 플레이스토어에서 코드 주입 기능을 갖춘 안드로이드 루팅 악성코드 최초로 발견 돼

국내외 보안동향

by 알약(Alyac) 2017. 6. 14. 15:51

본문

First Android-Rooting Trojan With Code Injection Ability Found On Google Play Store


백그라운드에서 악성 행위를 하기 위해 기기의 보안 기능을 비활성화 시킬 수 있는 새로운 안드로이드 루팅 악성코드가 구글 플레이스토어에서 발견되었습니다.


이 앱은 구글의 보안매커니즘을 속이기 위하여, 정상앱으로 위장하여 등록되지만, 등록된 후에 임시로 악성코드가 포함된 버전으로 주기적으로 변경합니다.


이 악성코드는 퍼즐 게임인 “colourblock”에 숨어 있었으며, 구글플레이에서 삭제되기 전 최소한 50,000회 이상 다운로드 되었습니다.


Dvmap이라 명명 된 이 안드로이드 루팅 악성코드는 써드파티로부터 다른 악성 앱들을 다운로드 하기 위해서 기기의 보안 세팅을 비활성화 시키고, 루트 접근 권한을 얻고 영구히 유지 되기 위해 기기의 시스템 런타임 라이브러리에 악성 코드를 인젝션 시킵니다.


연구원들은 “구글 플레이 스토어의 보안 검사를 우회하기 위해, 이 악성코드의 제작자들은 매우 흥미로운 방식을 사용했다. 2017년 3월 깨끗한 앱을 업로드한 후, 이를 아주 짧은 기간 동안만 악성 버전으로 업데이트 했다.”“보통, 그들은 동일한 날 구글 플레이에 깨끗한 버전으로 다시 업데이트했다. 이는 4월 18일부터 5월 15일 사이에 최소 5번 이상 반복 되었다.”고 밝혔습니다.


Dvmap 악성코드 동작법


Dvmap 악성코드는 안드로이드 32비트 및 64비트 버전에서 모두 작동하며, 설치 되면 루트 권한을 얻고 시스템에 모듈들 몇 개를 설치하려 시도합니다. 이 모듈들 중 일부는 중국어로 작성 되었으며, 악성 앱인 “com.qualcmm.timeservices”도 포함합니다.


악성 모듈이 시스템 권한으로 실행 되도록 하기 위해, 이 멀웨어는 기기가 사용하는 안드로이드 버전에 따라 시스템의 런타임 라이브러리에 덮어쓰기를 합니다.


위의 악성 앱의 설치를 완료하기 위해, 시스템 권한을 가진 악성코드는 “Verify Apps” 기능을 끄고, 써드파티 앱 스토어로부터의 앱 설치를 허용하도록 시스템 세팅을 변경합니다.


게다가, 이는 사용자와의 아무런 상호작용 없이 명령어를 실행하는 것 만으로 “com.cualcmm.timeservices”앱에 기기 관리자 권한을 부여할 수 있는데, 이는 기기 관리자 권한을 얻는데 사용되는 흔하지 않은 방법입니다.


이 악성 앱은 공격자들이 기기를 온전히 제어할 수 있도록 감염 된 기기를 공격자의 C&C 서버와 연결하는 역할을 합니다.


하지만, 연구원들은 아직까지 감염 된 안드로이드 기기들이 명령어를 내려 받는 것을 보지 못했기 때문에, “어떤 파일들이 실행 될지는 알 수 없지만, 이는 악성 또는 광고 파일일 것이다.”고 추측했습니다.



Dvmap 멀웨어로부터 보호하는 법


연구원들은 아직까지 Dvmap 멀웨어를 테스트하고 있지만, 이 문제의 퍼즐게임을 설치한 사용자들은 기기의 데이터를 백업한 후 공장 초기화를 하는 것이 좋다고 권고했습니다.


이러한 공격으로부터 보호받기 위해서는, 구글 플레이스토어라 할지라도 앱을 다운로드할 때 주의를 기울이며, 신뢰할 수 있는 제작사가 개발한 앱들을 다운로드하는 것이 좋으며, 사용자들이 남긴 리뷰를 확인하는 것도 좋은 방법입니다. 또한 앱을 설치하기 전 권한을 확인하고, 앱의 본래 용도와 관련이 있는 권한들만 부여하는 것을 추천합니다.


현재 알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.Dvmap로 탐지중에 있습니다.






참고 :

http://thehackernews.com/2017/06/android-rooting-malware.html
https://securelist.com/78648/dvmap-the-first-android-malware-with-code-injection/

관련글 더보기

댓글 영역