안드로이드 루팅 악성코드 CopyCat, 1,400만 기기 감염시켜

CopyCat Android Rooting Malware Infected 14 Million Devices

새로이 발견 된 안드로이드 악성앱이 전 세계 1,400만 안드로이드 기기들을 감염시키고, 운영자들은 단 두달aks에 150만 달러 상당의 부당한 광고 수익을 올린 것으로 확인됐습니다.

CopyCat이라 명명 된 이 악성코드는 감염 된 기기를 루팅시키고, 지속성을 얻어 안드로이드에서 앱을 실행하는 것을 담당하는 데몬인 Zygote에 악성 코드를 삽입해 해커들이 기기 전체에 접근할 수 있도록 허용합니다.

감염된 1,400대 이상의 기기 중 800만대는 루팅 돼

이 악성코드 변종을 발견한 보안 연구원들에 따르면, CopyCat은 1,400만대의 기기를 감염시켰고, 약 800만대의 기기를 루팅시켰으며, 380만대의 기기에 광고를 보여주고, 440만대는 구글 플레이에서 앱을 설치하기 위해 계정정보을 훔치는데 이용되었습니다.

CopyCat 악성코드에 감염된 사용자들은 대부분 남부아시아 및 동남아시아에 거주하며, 인도가 가장 큰 피해를 입었습니다. 미국에서도 28만대 이상의 기기들이 감염 되었습니다.

CopyCat 악성코드가 구글 플레이에서 배포 되었다는 증거는 아직 없으며, 이에 연구원들은 수 백만명의 피해자들이 써드파티앱 다운로드 및 피싱 공격을 통해 해당 악성앱에 감염되었다고 추측하고 있습니다.

Gooligan과 같이, CopyCat 악성코드는 다양한 유형의 광고 사기를 실행하기 위해 “최신 기술”을 사용합니다.

CopyCat은 CVE-2013-6282(VROOT), CVE-2015-3636 (PingPongRoot), CVE-2014-3153 (Towelroot)를 포함한 여러개의 익스플로잇들을 사용해 가장 널리 사용 되고 있는 안드로이드 5.0 및 이전 버전을 사용중인 기기들을 공격합니다.

이 악성앱에 감염된 디바이스들이 많다는 것은 즉, 수 백만명의 안드로이드 사용자들이 패치가 지원되지 않는 오래된 버전을 사용하거나 혹은 패치를 진행하지 않은 상태에서 그대로 안드로이드를 사용하고 있다는 것을 의미하기도 합니다.

CopyCat이 안드로이드 기기를 감염시키는 방법

CopyCat은 사용자들이 써드파티 스토어에서 다운로드 하는 인기있는 안드로이드 앱으로 위장합니다. 일단 다운로드 되면, 이 악성앱은 감염 된 기기의 데이터를 수집하고 기기를 루팅하기 위해 루트킷을 내려받습니다.

기기루팅 후에는 기기에서 보안 장치들을 삭제하고, 사용자 동의 없이 앱을 설치하고 광고를 노출시키기 위해 Zygote 앱 실행 프로세스에 코드를 삽입합니다.

CopyCat 악성앱 제작자들은 불과 2개월만에 150만 달러의 부당이익을 취했으며, 이 중 대부분의 수익($73.5만 이상)은 감염 된 기기에 1억건의 광고를 노출시키는 앱을 무단으로 설치하는 방식으로 벌어들였습니다.

대부분의 피해자들은 인도, 파키스탄, 방글라데시, 인도네시아, 미얀마에 거주하고 있지만, 캐나다에서도 38.1만대가 넘는 기기들이, 미국에서는 28만대가 넘는 기기들이 CopyCat에 감염된 것으로 확인되었습니다.

CopyCat의 배후에는 중국의 광고회사가 있는 것으로 추측 돼

직접적인 증거는 아직 발견되지 않았지만, 보안 연구원들은 중국의 광고 회사가 CopyCat 악성앱를 배포시킨 것으로 추정하고 있습니다.

그 이유는 CopyCat과 중국의 광고 네트워크인 MobiSummer와의 몇 가지 연결고리를 발견했기 때문입니다.

CopyCat과 MobiSummer는 동일한 서버에서 운영된다.
CopyCat의 코드 몇 줄은 MobiSummer에 의해 서명 되었다.
CopyCat과 MobiSummer는 동일한 원격 서비스를 사용한다.
CopyCat의 피해자 절반 이상이 아시아에 거주하지만, 중국인들은 타겟으로 하지 않았다.

오래된 안드로이드 기기 사용자들은 CopyCat 공격에 여전히 취약하지만, 써드파티 앱 스토어에서 앱을 다운로드한 경우에만 해당 됩니다.

지난 2017년 3월 연구원들은 Google에 CopyCat에 대해 알렸으며, 구글은 이 악성코드를 차단하기 위해 Play Protect를 업데이트했습니다. 따라서, 현재는 오래된 기기들도 Play Protect를 통해 보호받을 수 있게 되었습니다.

현재 알약 안드로이드에서는 해당 악성앱에 대하여 Exploit.Android.CopyCat로 탐지중에 있습니다.

출처 :

http://thehackernews.com/2017/07/copycat-rooting-malware.html
http://blog.checkpoint.com/2017/07/06/how-the-copycat-malware-infected-android-devices-around-the-world/
https://www.checkpoint.com/downloads/resources/copycat-research-report.pdf