상세 컨텐츠
본문
트로이목마에 감염 된 가짜 페이스북 라이트 앱, 사용자 정보 훔쳐
Fake Facebook Lite App Infected with Trojan to Steal Users' Info
서드파티 앱 스토어에 존재하는 페이스북 라이트 버전이 악성코드에 감염된 것으로 확인되었습니다. 이 앱은 공식 페이스북이 아니라 중국의 개발자에 의해 개발한 것으로 추정됩니다.
보안 연구원들은 페이스북 라이트 버전은 공식 페이스북 앱 보다 데이터를 적게쓰는 가벼운 버전으로, 실행 시 예상대로 작동하지만 백그라운드에서는 악성행위를 한다고 밝혔습니다. 이 가짜앱은 악성 리시버 (com.google.update.LaunchReceiver)와 서비스(com.google.update.GetInst)를 사용해 구글 업데이트를 우회합니다.
폰이 부팅 될 때 마다 com.google.update.LaunchReceiver가 실행되고, 수신기인 com.google.update.GetInst를 즉시 실행합니다. 서비스(com.google.update.GetInst)는 개인 정보를 훔치고 추가 악성 앱을 설치하는 악성코드를 포함합니다. 이 악성코드는 감염 디바이스의 기기 ID, 시스템 버전, Mac 주소, 네트워크 운영자 이름, 심카드의 시리얼 넘버 등을 훔쳐갈 수 있습니다.
<출처 : https://blog.malwarebytes.com/cybercrime/2017/03/mobile-menace-monday-facebook-lite-infected-with-spy-fakeplay/>
Facebook Lite 앱은 코드에서 발견 된 문자들로 미루어 볼 때 중국에서 개발 된 것으로 추정됩니다. 중국은 공식 구글 플레이 스토어에 접근할 수 없으므로, 사용자들은 부득이하게 써드파티 앱 스토어를 사용할 수 밖에 없습니다.
써드파티 앱스토어에는 구글과 같은 검열 서비스가 없기 때문에 악성 앱들이 등록되는 경우가 많습니다. 따라서 앱을 내려받을 때에는 공식 구글 플레이 스토어에서 앱을 설치하는 것을 권장드립니다.
현재 알약 안드로이드에서는 해당 악성앱에 대하여 Misc.Android.Riskware.Agent로 탐지중에 있습니다.
참고 :
'국내외 보안동향' 카테고리의 다른 글
| Apache Struts 버전확인 및 업데이트 방법 (0) | 2017.03.10 |
|---|---|
| Linux 커널 n_hdlc 모듈 권한상승 취약점(CVE-2017-2636) 발견! (0) | 2017.03.09 |
| Struts2 원격코드실행 취약점(CVE-2017-5638,S2-045) 주의! (14) | 2017.03.07 |
| 중국산 게이트웨이에서 Root권한의 백도어 발견! (0) | 2017.03.07 |
| PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격 (0) | 2017.03.06 |
댓글 영역