상세 컨텐츠

본문 제목

Ztorg가 포함된 악성앱, 구글 플레이 스토어에서 제거 돼

국내외 보안동향

by 알약(Alyac) 2017. 6. 22. 09:00

본문

Two Ztorg Trojans Removed from Google Play Store Are Definitely Better


이번달에만 벌써 두번째 공식 구글플레이에서 사용자 기기를 루팅할 수 있는 악성코드가 발견되어 삭제되었습니다. 


이번에 삭제된 앱들은 “Magic Browser”와 “Noise Detector”로, Ztorg악성코드가 포함되어 있었습니다. 


SW개발자들은 대부분 취약점 패치 및 새로운 기능 추가를 위해 앱에 업데이트를 진행하게 되는데, 만약 이 앱이 악성앱일 경우라면 업데이트는 최악의 작업일 수도 있습니다. 


이번에 삭제된 두 앱들도 원래 플레이 스토어에 업로드 되었을 때는 정상적인 앱이었으나 업데이트 과정을 통하여 악성코드 툴킷을 사용하는 악성 앱으로 업데이트 되었습니다.


Ztorg 악성코드 툴킷은 카스퍼스키랩이 2016년 9월 “Guide for Pokemon Go”앱에 포함된 것을 처음 발견했습니다. 당시 이 앱은 50만회 이상 다운로드 되었으며, 그 중 6천 건이 성공적으로 감염 된 것으로 확인되었습니다. 이후 Ztorg가 포함 된 수십개의 앱들이 구글 스토어를 통해 유포되었으며 결국 삭제되었습니다.


일단 앱이 설치 되면, 이는 광범위한 고급 기술들을 사용해 탐지를 피하며 C&C 인프라로부터 업데이트를 받아 기기에서 Root 접근 권한을 얻으려 시도합니다.보안 연구원들은 다음과 같은 특징이 있다고 밝혔습니다. 


에뮬레이터 탐지 기능

XOR 기반의 강력한 문자열 난독화

DES-CBC 암호화를 통한 원격 서버와 통신

원격서버를 통한 안드로이드 어플리케이션 다운로드, 설치 및 실행



스마트폰이 Ztorg 트로이목마에 감염 되면 무슨 일이 일어나나요?


Ztorg 악성코드 역시 궁극적인 목적은 금전적인 이득입니다. 


초기의 Ztorg 악성코드는 정식 광고 네트워크를 통해 수익을 창출하는 AdWare를 사용했습니다. 사용 된 기술들은 웹 페이지 리디렉팅, 검색 결과 조작, 사용자가 방문하는 사이트 정보 수집 등이 있으며, 이를 통해 창출된 수익은 모두 공격자의 몫이 됩니다. 


최근 구글 플레이스토어에서 제거 된 앱인 “Magic Browser”와 “Noise Detector”는 불법적으로 돈을 벌 수 있는 새로운 기술들을 포함하고 있었으며, 이는 Ztorg 악성코드의 기능이 진화했다는 뜻이기도 합니다. 진화한 Ztorg악성코드의 주요 비즈니스 모델은 사용자의 기기로 특정 문자메세지를 보내 요금이 청구되도록 하는 "유료 SMS 보내기" 입니다.


예를 들면, 사용자는 문자로 금액을 보내기만 하면 재난 구호 자금을 기부할 수 있습니다. 최신 Ztorg 악성코드는 이러한 유료 SMS 시스템을 악용해 수익을 발생시킵니다. 다른 Ztorg 시스템들과 마찬가지로, 이들도 수익을 극대화 하고 탐지를 피하기 위한 정교한 기술들을 사용합니다.


일단 감염 되면, 트로이목마는 10분간 휴면 상태에 들어갑니다. 이로써 사용자가 뭔가 이상함을 느끼더라도, 설치 된 앱과 연결시킬 확률을 줄입니다. 10분 후, 이 트로이목마는 기기의 IMSI의 처음 5자리를 C&C 서버로 전송합니다. 이 부분은 기기가 연결 된 네트워크 및 국가를 식별합니다. 이 정보를 이용해 C&C는 어떤 유료 SMS 서비스가 가능한지 파악한 후 요금을 마구 청구하기 시작합니다. 일반적으로 대부분의 유료 SMS 서비스들은 이후 텍스트 메시지로 영수증이나 알림을 보내지만, Ztorg 악성코드가 중간에서 SMS 메시지들을 가로채 삭제해버리기 때문에 사용자들은 인식하지 못하게 됩니다. 


보안 연구원들은 “보안 장치들을 우회하고 많은 기기들을 감염시키기 위한 새로운 트릭으로 무장한 Ztorg 악성코드가 지속적으로 구글 플레이 스토어에 나타나고 있다. 피해자들이 정상적인 앱을 다운로드 할지라도, 시간이 지난 후에도 이 앱이 여전히 안전할 것이라는 보장은 없다. 사용자들, 구글, 그리고 보안 연구원들은 항상 이를 경계해야하며, 적극적으로 대응해야 할 것이다.”고 밝혔습니다.


알약 안드로이드에서는 해당 악성앱들에 대하여 Trojan.Android.Ztorg로 탐지중에 있습니다. 




참고 : 

http://securityaffairs.co/wordpress/60272/malware/ztorg-trojans-google-play-store.html

https://securelist.com/ztorg-from-rooting-to-sms/78775/

 



관련글 더보기

댓글 영역