상세 컨텐츠

본문 제목

중국 광고 SDK와 연결 된 안드로이드 스파이웨어 발견

국내외 보안동향

by 알약(Alyac) 2017. 8. 23. 15:12

본문

ANDROID SPYWARE LINKED TO CHINESE SDK FORCES GOOGLE TO BOOT 500 APPS


최근 구글플레이에서 500개의 앱들이 삭제되었는데, 그 앱들 안에는 사용자 몰래 스파이웨어를 설치할 수 있는 광고 SDK가 내장되 있었습니다. 


lgexin이라 명명 된 이 광고 SDK는 중국 회사가 개발했으며, 기기에서 로그를 추출할 수 있는 악성코드를 설치하는데 사용되었을 수 있습니다.


보안 연구원들은 지난 월요일 lgexin SDK를 포함한 500개 이상의 안드로이드 앱들이 1억 회 이상 다운로드 되었다고 밝혔습니다. 하지만 이 모든 앱들이 스파이웨어에 감염 된 것은 아니라고 말했습니다.


5천만 ~ 1억회 이상 다운로드 된 앱은 10대들을 위해 개발 된 게임 앱이며, lgexin SDK를 포함한 앱들 중 가장 많은 부분을 차지했습니다. 이 밖에도 날씨 앱, 인터넷 라디오 앱, 사진 편집 앱, 교육, 건강 및 피트니스, 여행 및 이모티콘 앱들도 해당 SDK가 포함 된 것으로 나타났습니다.


연구원들은 “모든 앱이 악성 스파잉 기능을 다운로드 하는 것은 아니지만, lgexin이 원할 때 언제든 다운로드 할 수 있었던 것으로 나타났다.”고 밝혔습니다.


Lgexin SDK 및 이와 유사한 SDK들은 주로 앱 개발자들이 모바일 광고 네트워크와 협력해 광고를 게재하고 수익을 창출해내기 위해 사용합니다. 이러한 서비스들은 타겟 광고를 위해 종종 사용자의 데이터를 수집합니다.


일반적으로 구글의 탐지를 우회하기 위하여 악성코드 제작자들은 정상 앱을 구글플레이에 등록 한 후, 사용자가 기기에 내려 받으면 악성코드를 내려주는 형태로 구글의 검열을 우회합니다. 


하지만 이번에 발견된 lgexin은 앱 개발자들이 의도해서 악성기능을 만든것이 아니며, 추후 사용자 기기에서 실행되는 악성 페이로드를 제어하지 못하며 심지어 인지하지도 못하고 있었습니다. 이런 악성 페이로드를 내려보내는 것은 모두 lgexin의 컨트롤 서버에 있는 문제점 때문에 발생하는 것이였습니다. 


앱들이 악성코드를 유포하는 것으로 알려진 ip 및 서버와 통신하고 있었기 때문에, 의심스러운 행동을 발견할 수 있었습니다.  한 앱은 lgexin SDK가 사용하는 엔드포인트에 위치한 REST API로 요청한 후 많은 암호화 된 파일들을 다운로드 했습니다.


연구원들은 “다운로드 된 클래스에 포함 된 기능들은 런타임 시 완전히 외부에 의해 제어되며, 원격의 시스템 운영자가 선택한 요인에 의해 언제든 변경될 수 있다. 원격 API 요청이 이루어지면, 사용자와 앱 개발자들은 기기에서 실행 되는 것에 대해 어떠한 제어도 할 수 없게 된다.”라고 밝혔습니다. 


기기에서 로그를 옮기는 것 이외에도, 다른 플러그인들은 전화 기록을 저장하는 PhoneStateListener와 같은 기능들을 등록하는데 사용될 수 있습니다.






출처 : 

https://threatpost.com/android-spyware-linked-to-chinese-sdk-forces-google-to-boot-500-apps/127585/

https://blog.lookout.com/igexin-malicious-sdk


관련글 더보기

댓글 영역