인기있는 안드로이드 폰 5백만대에서 선 탑재 악성앱 발견 돼

Pre-Installed Malware Found On 5 Million Popular Android Phones

보안 연구원들이 이미 전 세계 5백만대에 가까운 모바일 기기들을 감염 시킨 대규모 악성코드 캠페인을 발견했습니다.

RottenSys라 명명 된 이 악성앱는 ‘System Wi-Fi Service’앱으로 위장하고 있으며 Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung, GIONE에서 생산 된 새 스마트폰 수 백만 대에 공급 망 어딘가에서 선 탑재 되어 출고되고 있었습니다.

이에 영향을 받은 모든 기기들이 중국 항저우의 모바일 기기 배포업체인 Tian Pai를 통해 배송 되었지만, 연구원들은 이 회사가 직접적으로 이 캠페인에 참여했는지 여부는 정확히 알 수 없었다고 밝혔습니다.

이 캠페인을 발견한 연구원들에 따르면, RottenSys는 어떠한 안전한 Wi-Fi 관련 서비스를 제공하지 않으며 악성 행동을 위해 거의 모든 중요 안드로이드 권한들을 사용하는 고급 악성앱입니다.

연구원들은 “RottenSys 악성앱은 2016년 9월부터 배포 되기 시작했으며, 2018년 3월 12일 기준으로 4,964,460대의 기기들이 이에 감염 되었습니다.”고 말했습니다.

탐지를 피하기 위해, 이 가짜 시스템 Wi-Fi 서비스 앱은 초기에는 악성 컴포넌트를 포함하고 있지 않으며, 즉시 악성 행동을 시작하지도 않습니다. 

대신, RottenSys는 실제 악성 코드가 포함 된 컴포넌트의 목록을 받아오기 위해 C&C 서버와 통신합니다.

이후 "DOWNLOAD_WITHOUT_NOTIFICATION" 권한을 이용해 사용자와의 아무런 상호작용 없이 모든 컴포넌트를 다운로드 및 설치합니다.

해커들, 단 10일만에 $115,000 벌어들여

현재, 이 대규모 악성코드 캠페인은 애드웨어 컴포넌트를 감염 된 모든 기기에 푸시해 기기의 홈 화면, 팝업 윈도우, 풀 스크린 광고 등을 통해 광고 수익을 발생시키고 있습니다.

“RottenSys는 매우 공격적인 광고 네트워크입니다. 이는 단 10일만에 공격적인 광고를 13,250,756회나 노출 시켰으며, 이들 중 548,822건이 광고 클릭으로 이어졌습니다.

연구원들에 따르면, 공격자들은 이 악성앱을 이용해 단 10일 만에 $115,000 이상의 수익을 올렸지만 이에 그치지 않고 “단순히 원하지 않는 광고를 표시하는 것 이외에 더 큰 파괴력을 주는 공격”을 준비중이라 밝혔습니다.

RottenSys는 C&C 서버로부터 어떤 새로운 컴포넌트라도 다운로드 및 설치가 가능하도록 설계 되었기 때문에, 공격자들은 이를 아주 쉽게 무기화하거나 수 백만 대의 감염 기기들을 제어할 수 있게 됩니다.

또한 조사 결과, RottenSys 공격자들이 이미 감염 된 기기들을 대규모 봇넷 네트워크로 만들기 시작했다는 증거도 발견 되었습니다.

감염 된 기기들 중 일부가 공격자들이 추가 앱을 설치하거나 UI 자동화가 가능하도록 더 많은 권한을 주는 새로운 RottenSys 컴포넌트를 설치한 것이 발견 되었습니다.

이 안드로이드 악성앱을 탐지 및 삭제하는 방법

이 악성앱에 기기가 감염 되었는지 확인하려면, 안드로이드 시스템 설정 -> 앱 관리에서 아래의 악성앱을 찾아 언인스톨 하면 됩니다

Package Name	App Name
com.android.yellowcalendarz	每日黄历
com.changmi.launcher	畅米桌面
com.android.services.securewifi	系统WIFI服务
com.system.service.zdsgt

현재 알약M에서는 해당 악성앱들에 대하여 Adware.Android.Agent로 탐지중에 있습니다. 

출처 :

https://thehackernews.com/2018/03/android-botnet-malware.html