치명적인 안드로이드 악성코드 귀환... 구글 플레이에서 2백만 다운로드 기록해

치명적인 안드로이드 악성코드 귀환... 구글 플레이에서 2백만 다운로드 기록해

Virulent Android malware returns, gets >2 million downloads on Google Play

<이미지 출처 : http://blog.checkpoint.com/2017/01/23/hummingbad-returns/>

지난해 1,000만대 이상의 안드로이드 기기들을 감염시킨 치명적인 악성코드가 다시 돌아왔습니다. 이번에는 구글 플레이 앱에 숨어 1,200만회 가량 다운로드된 것으로 밝혀졌습니다.

HummingWhale은 매우 전문적으로 개발된 악성코드로 지난 7월 써드파티 앱 마켓을 침범한 HummingBad의 변종입니다. HummingBad는 안드로이드의 구 버전에서 패치되지 않은 취약점들을 악용해 보안 장치를 무효화시키고 악성코드에 루트 권한을 부여하려고 시도합니다. 

구글이 이를 저지시키기 전까지, 이는 하루에 50,000개 이상의 사기 앱들을 설치했습니다. 또한 2,000만회의 악성 광고를 표시했으며, 한달에 $300,000 이상의 수익을 올린 것으로 밝혀졌습니다. HummingBad로 오염된 앱을 다운로드한 1,000만명의 사용자 중 286,000명은 미국에 위치해있는 것으로 확인되었습니다.

Check Point에 따르면 HummingWhale은 200만 ~ 1,200만회 다운로드된 20개의 구글 앱들에 잠입하는 방식으로 유포되었습니다. 이 최신 변종은 기기를 루팅하는 대신, 악성코드가 이전보다 훨씬 효과적으로 광고 사기를 수행할 수 있게 해주는 새로운 가상 머신 기술을 포함하고 있습니다.

연구원들은 Ars에 이메일을 통해 “사용자들은 공식 앱스토어에서 평판이 높은 앱들만 설치하는 것이 더 이상 신뢰할 수 없는 방법이라는 것을 깨달아야 한다. 이 악성코드는 그들의 활동을 숨기기 위해 여러가지 방법을 사용한다. 즉 사용자들은 이 악성코드가 그들의 기기에 존재하는 것을 알지 못할 수 있다는 이야기다.”라고 밝혔습니다.

HummingBad의 경우와 마찬가지로, HummingWhale의 목적은 사기 광고를 게재하고 자동으로 앱을 설치하여 수익을 올리는 것입니다. 사용자가 광고를 닫으려고 시도하면, 이 새로운 기능으로 인해 이미 다운로드된 앱들이 가상 머신에서 실행됩니다. 이는 공격자들이 추천 관련 수입을 얻을 수 있도록 가짜 ID를 생성해냅니다. 가상 머신을 사용하면 운영자는 많은 이점을 얻게 되는 식입니다. 

가장 주목할 것은, 사용자가 상승된 권한을 승인하지 않더라도 악성코드가 앱을 설치하도록 허용할 수 있다는 점입니다.

이 VM은 악성 활동을 위장해, 앱들이 구글 플레이에 쉽게 침투할 수 있도록 합니다. 이는 감염된 기기를 과부화 시키지 않고 거의 무제한으로 사기성 앱을 설치할 수 있다는 이점이 존재합니다. 지금까지 고급 권한들을 부여 받으려 시도했던 악성코드들은 종종 사용자들에게 무서운 설명이 포함된 권한을 승인하도록 속이거나 루트 취약점을 악용해야만 했습니다.

Check Point는 HummingWhale이 VM 기능을 구현하기 위해 악성 APK 설치 드로퍼가 중국 기업 Qihoo 360의 개발자들이 개발한 확장 프로그램 DroidPlugin을 사용한다고 밝혔습니다. 또한 HummingWhale은 일단 설치되면 원래의 악성 앱은 숨기고, 구글 플레이 평점을 올리기 위해 자동으로 긍정적인 사용자 코멘트와 별점을 등록하는 특징이 있습니다. 지난 11월 발견된 안드로이드 악성코드인 Gooligan도 구글 플레이 평점을 속이기 위해 이와 유사한 기능을 포함하고 있었습니다.

감염된 앱의 패키지 명은 일반적으로 XXXX.camera와 같은 흔한 이름을 사용하고 있습니다. 예를 들면 com.bird.sky.whale.camera (앱 이름 : Whale 카메라), com.color.rainbow.camera (Rainbow Camera), com.fishing.when.orangecamera (Orange Camera)과 같은 이름입니다.

구글은 관련하여 비공개 제보를 받은 후, 이 악성앱들을 Play 마켓에서 제거했습니다. 한편, 현재 알약 안드로이드는 해당 악성코드에 대해 Trojan.Android.HiddenAds.HummingWhale로 탐지하고 있습니다. 감사합니다.

 

출처 :

http://arstechnica.com/security/2017/01/virulent-android-malware-returns-gets-2-million-downloads-on-google-play/

http://blog.checkpoint.com/2017/01/23/hummingbad-returns/