상세 컨텐츠

본문 제목

90개국의 저가형 안드로이드 기기 141대에서 선 탑재 된 Cosiloon 악성코드 발견!

국내외 보안동향

by 알약(Alyac) 2018. 5. 28. 15:35

본문

Pre-installed malware found in 141 low-cost Android devices in over 90 countries


연구원들이 90개국 이상의 저가형 안드로이드 기기 141대에서 선 탑재 된 악성코드를 발견했습니다.


이는 지난 2016년 12월 한 범죄 조직이 이동 통신사의 공급망을 손상시켜 모바일 기기들을 악성코드에 감염 시킨 것과 관련이 있는 것으로 나타났습니다.


전문가들은 이와 동일한 범죄 조직이 여전히 활동 중이며 Cosiloon이라 명명 된 악성코드를 다른 기기들에 주입하고 있다고 추측했습니다.


연구원들은 90개국 이상에서 감염 된 기기를 발견했으며, 이들 모두는 Mediatek 칩셋을 사용중이었습니다. 하지만 MediaTek은 이 감염 사건의 주요 원인이 아닙니다. 영향을 받는 스마트폰 모델의 일부 장치에 대한 펌웨어만 악성코드로 감염되어 있었기 때문입니다. 이는 공격자들이 MediaTek의 펌웨어 컴포넌트는 해킹하지 않았다는 것을 의미합니다.


연구원들은 “아래의 스크린샷에서 볼 수 있듯이, 이 애드웨어는 사용자의 브라우저 내에서 광고를 표시하기 위해 오버레이 창을 생성합니다. 이 애드웨어는 지난 3년 동안 활성화 된 상태였습니다. 또한 펌웨어 레벨에 설치 되어 있으며 강력한 난독화 기법을 사용했기 때문에 제거하기가 힘듭니다.”


“수 천명의 사용자가 영향을 받았으며, 지난 한 달 동안 러시아, 이탈리아, 독일, 영국 등 100개 이상의 국가에 위치한 사용자들의 기기들 약 18,000대에서 이 애드웨어의 최신 버전이 발견 되었습니다.”고 밝혔습니다.


연구원들은 Cosiloon 악성코드가 발견 된 안드로이드 스마트폰 및 태블릿 140개 이상의 목록을 공개했습니다.


연구원들은 Cosiloon 악성코드는 지난 2015년에 발견 된 것과 동일하며, 아직까지 어떠한 업데이트도 받지 못했다고 밝혔습니다.


이 악성코드는 두 개의 개별적인 APK인 드롭퍼, 페이로드로 구성 되었습니다. 이 악성코드의 구버전에서는, 연구원들은 /system 파티션에 별도의 애드웨어 앱이 선탑재 된 것을 발견했습니다. 또한 대부분의 최신 변종에서는 새로운 페이로드를 발견했습니다.


“드롭퍼의 두 번째 변종은 좀 더 흥미롭습니다. 이 코드는 첫 번째 변종과 거의 동일하지만, 분리 된 시스템 어플리케이션은 아닙니다. 이 코드는 안드로이드 OS의 필수 요소인 SystemUI.apk에 임베드 되어 있습니다. 이로써 사용자가 이 드롭퍼를 제거하기는 거의 불가능합니다."


이 드롭퍼는 /system 폴더에서 전체 루트 권한을 가지고 실행 됩니다. 또한 원격 서버로부터 XML 파일을 다운로드 해 다른 악성 앱들을 설치합니다.


또한 거의 모든 감염 사례에서, 이 악성 코드들은 모바일 앱이나 안드로이드 OS 인터페이스의 맨 윗쪽에 광고를 표시하는데 사용 되었습니다.


<이미지 출처 : https://securityaffairs.co/wordpress/72916/malware/cosiloon-pre-installed-malware.html>

전문가들은 이 선 탑재된 악성코드가 기기의 언어가 중국어로 설정 되어 있을 경우, 기기의 공개 IP 주소가 중국 IP인 경우, 그리고 설치 된 앱이 3개 이하인 경우(테스트 환경에서 실행 된다고 판단) 어떠한 악성코드나 악성 앱도 드랍하지 않는 것을 발견했습니다.


연구원들은 워낙 많은 제조사들이 얽혀있기 때문에, 감염이 시작되는 지점을 정확히 알 수 없다고 밝혔습니다.

악성코드의 제어 서버는 2018년 4월까지 동작했으며, 범죄자들은 다수의 제조업체들이 드롭퍼를 선탑재한 새로운 기기들을 출고하는 동안 새로운 페이로드를 만들었습니다.


연구원들은 도메인 등록업체 및 서버 제공자들에 Cosiloon의 C&C 서버를 비활성화 및 중단시킬 것을 요청한 상태입니다. ZenLayer 제공 업체는 서버를 재빨리 종료했지만, 공격자들은 연구원들의 요청에 응답하지 않은 또 다른 업체로 그들의 서버를 옮겼습니다.


Cosiloon 선탑재 악성코드에 대한 자세한 내용은 여기에서 찾아볼 수 있습니다.


알약M에서는 해당 악성앱들에 대하여 Trojan.Android.Downloader로 탐지중에 있습니다.




참고 :

https://securityaffairs.co/wordpress/72916/malware/cosiloon-pre-installed-malware.html

https://blog.avast.com/android-devices-ship-with-pre-installed-malware

관련글 더보기

댓글 영역