새로운 안드로이드 악성코드 RedDrop, 주변 오디오를 녹음하고 사용자 데이터 추출해

RedDrop, a new Android Malware records ambient Audio and exfiltrate user’s data

최근 발견 된 모바일 악성코드인 RedDrop이 감염 된 기기로부터 데이터를 훔치고, 주변의 오디오를 녹음하는 것으로 나타났습니다. 감염 된 기기에서 훔친 모든 데이터는 원격 파일 저장 시스템으로 업로드 됩니다.

이 악성 코드는 이미지 에디터, 계산기, 언어 학습 앱, 우주 탐험 앱 등 무해해 보이는 안드로이드앱들 53개에서 발견 되었습니다. 

이 어플리케이션들은 예상한 대로 동작하며, RedDrop 악성코드는 백그라운드에서 실행 됩니다.

일단 감염 된 앱이 설치 되면, 서로 다른 C&C 서버에서 최소 7개의 안드로이드 어플리케이션 패키지(APK)들을 다운로드합니다. 이들은 각각 악성 기능들을 구현합니다. 이 APK들은 기기의 메모리에 저장 되며, 이러한 트릭을 사용해 원래 악성코드 샘플에 기능을 포함하지 않고도 실행될 수 있습니다.

RedDrop 악성코드는 유료 서비스에 SMS 메시지를 보내고, 사용자에게 발각되는 것을 피하기 위해 즉시 메시지를 삭제할 수 있습니다.

연구원들은 악성 앱들이 4천개 이상의 도메인으로 이루어진 아주 복잡한 네트워크에서 배포된다는 사실을 발견했습니다. 이들은 모두 중국의 언더그라운드 그룹이 등록한 도메인인 것으로 밝혀졌습니다.

연구원들이 발견한 앱들 중 하나는, 사용자가 기능을 사용할 때 마다 유료 서비스에 SMS 메시지를 보내도록 설계 되었습니다. 이후 모든 메시지를 삭제해 유료 서비스에 SMS를 보냈다는 모든 증거를 지웁니다.

<이미지 출처 : http://securityaffairs.co/wordpress/69693/malware/reddrop-android-malware.html>

현재, 대부분의 감염은 중국에서 발견 되었으며, 유럽과 미국이 그 뒤를 따르고 있습니다.

이 앱은 써드파티 앱스토어 및 웹사이트들에서 가장 많이 발견 되었으며, 아직까지 공식 스토어 및 구글 플레이스토어에서는 발견 되지 않았습니다.

현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.SmsPay로 탐지중에 있습니다.

참고 : 

http://securityaffairs.co/wordpress/69693/malware/reddrop-android-malware.html

https://www.wandera.com/blog/reddrop-malware/