상세 컨텐츠

본문 제목

4.2백만대의 구글플레이 사용자, 안드로이드 악성코드에 감염

국내외 보안동향

by 알약(Alyac) 2017. 9. 18. 17:14

본문

Yet Another Android Malware Infects Over 4.2 Million Google Play Store Users


최근 최소 50개의 악성 앱들이 구글 플레이스토어에 등록 되어 420만번 다운로드 된 것이 확인되었습니다. 이번 사건은 역대 최대 규모의 악성코드 감염 사건 중 하나가 되었습니다.


지난 목요일, 구글의 공식 플레이 스토어에서 무료로 다운로드 할 수 있는 50개의 안드로이드 앱들이 구글에 의해 삭제되었는데, 아 앱들은 삭제되기 전 까지 1백만회 ~ 4.2백만회 다운로드 된 것으로 확인되었습니다. 


이 안드로이드 앱들은 피해자들을 유료 온라인 서비스에 은밀히 가입시켜 피해자의 스마트폰에서 유료 텍스트 메시지를 보내 요금을 부과하는 악성코드 페이로드를 숨기고 있었습니다. 또한 이 모든 것은 사용자의 권한도 없이, 사용자가 알지 못하는 사이에 이루어집니다.


이 악성코드는 Lovely Wallpaper 앱에서 발견 되었기 때문에, 연구원들은 이를 ExpensiveWall이라 명명했습니다. 이 악성코드는 무료 배경화면, 비디오, 사진 편집 앱들에 숨겨져 있었습니다. 이는 올해 초 플레이스토어에서 발견된 악성코드의 새로운 변종입니다.


ExpensiveWall이 기존 변종과 다른 점은, 구글 플레이스토어의 빌트인 안티 악성코드 보호장치를 우회하기 위해 악성 코드를 압축해 암호화하는 “packed”라 불리는 고급 난독화 기술을 사용한다는 점입니다.


연구원들은 지난 8월 7일 구글에 악성 앱에 대해 제보하였으며, 구글은 이를 모두 제거하였습니다. 하지만 며칠이 지나자, 이 악성코드는 플레이 스토어에 다시 나타나 5천대의 기기를 감염 시켰으며 4일 후 다시 제거 되었습니다.


ExpensiveWall 악성코드가 동작하는 법


피해자의 기기에 개발 소프트웨어 키트인 GTK로 만들어진 것으로 추정 되는 ExpensiveWall을 포함한 앱이 다운로드 되면, 이 악성 앱은 사용자에게 인터넷 접근, SMS 송/수신 권한을 요구합니다.


인터넷 접근 권한은 악성코드가 피해자의 기기를 공격자의 C&C 서버와 연결하는데 사용 합니다. 악성코드는 이 C&C 서버에 기기의 MAC 주소 및 IP 주소, IMSI, IMEI 번호 등과 같은 하드웨어 고유 식별자, 위치 정보 등의 정보를 전송합니다.


이후, C&C 서버는 임베디드 WebView 창을 오픈하는 URL을 악성코드에 보냅니다. 이 창은 피해자가 모르는 사이에 기기로 사기성 유료 문자를 보내고, 피해자의 전화번호를 유료 서비스에 가입 시키는 JavaScript를 다운로드 합니다.


하지만 범죄자들이 ExpensiveWall의 유료 SMS 사기를 통해 얼마나 많은 수익을 올렸는지는 아직 분명하지 않습니다.


현재 알약안드로이드에서는 해당 악성코드에 대하여  Trojan.Android.ExpensiveWall로 탐지중에 있습니다. 




참고 :

http://thehackernews.com/2017/09/play-store-malware.html

https://blog.checkpoint.com/2017/09/14/expensivewall-dangerous-packed-malware-google-play-will-hit-wallet/

관련글 더보기

댓글 영역