Sophos는 최근 마이닝 스크립트가 포함된 19개의 앱들을 구글플레이에서 발견하였습니다. 이 앱들은 사용자 모르게 Coinhive 스크립트를 로드합니다.
해당 앱들 분석한 결과, App제작자들은(동일인물 혹은 동일 조직) Coinhive JavaScript 마이닝 스크립트를 app의 /assets 폴더 내 HTML 안에 숨겨놓았습니다.
사용자들이 해당 app을 실행한 후 WebView브라우저를 열면 해당 악성스크립트가 함께 실행됩니다. 만약 브라우저의 실행여부가 app에서 인증되지 않은 경우, WebView모듈은 숨겨져 보여지지 않으며, 이때 악성스크립트는 백그라운드에서 실행되게 됩니다.
만약 app이 신문리더기 혹은 교육일정 확인 기능을 한다면, Coinhive 브라우저 JavaScript 마이닝 코드는 사용자가 app을 실행할 때 app의 합법적인 컨텐츠와 함께 실행되는 경우도 있습니다.
일부 app의 경우 사용자가 10만명이 넘어
마이닝 코드가 발견된 19개의 app 중, 4개의 개발자 계정이 공개되었습니다. 다수의 app의 다운로드 횟수는 100 ~ 500회밖에 되지 않지만, extreme.action.wwe.wrestin app의 경우, 다운로드 횟수가 10만~50만이 되는것으로 확인되었습니다.
이 앱들은 크리스마스 전에 구글플레이에 업로드 되었으며, 현재는 이미 구글플레이에서 삭제되었습니다.
Sophos는 보고서에서 해당 19개 앱들에 대해 언급하였고, 사용자는 이 보고서를 확인 후 해당 앱들의 설치여부를 확인하실 수 있습니다.
또 다른 10개의 app, 사용자 몰래 가상화폐 마이닝
보고서 중에는 다른 앱들의 리스트도 언급되었는데, 이 app들은 Coinhive 를 로드하지 않지만, cpuminer 라이브러리가 내장되어 있어 비트코인과 라이트코인을 마이닝합니다.
Sophos는 이 악성코드를 CoinMiner라 명명하였으며, 이 앱들은 안드로이드 써드파티 마켓인 coandroid.ru에 업로드 되어있었다고 밝혔습니다.
알약M에서는 현재 해당 악성앱들에 대하여 Trojan.Android.JSCoinMiner로 탐지중에 있습니다.
출처 :
해커들, Google 검색광고를 이용하여 5000만달러의 가상화폐 수익 (0) | 2018.02.20 |
---|---|
젠킨스(Jenkins) 서버에 모네로 채굴 악성코드 설치해 3백만불 탈취한 해커그룹 (0) | 2018.02.19 |
악성코드 'Mirai' 변종, 일본 활동 감소 (0) | 2018.02.14 |
안드로이드 사용자를 노리는 크립토재킹 공격 (0) | 2018.02.13 |
MacOS App 스크린캡쳐기능을 이용하여 사용자 비밀번호 및 비밀키 등 개인정보 탈취 가능한 취약점 발견! (0) | 2018.02.12 |
댓글 영역