안드로이드 클립보드 하이재킹 크립토 악성코드, 최초로 구글 플레이에서 발견 돼

First Android Clipboard Hijacking Crypto Malware Found On Google Play Store

한 보안 연구원이 공식 구글 플레이 스토어에서 사용자들로부터 은밀히 비트코인 및 가상 화폐를 훔치도록 설계 된 크립토 악성코드를 발견했습니다. 

“Clipper”라 명명 된 이 악성코드는 합법적인 가상화폐 앱으로 위장하고, 안드로이드 클립 보드에 복사 된 가상화폐 지갑 주소를 공격자의 것으로 바꿔치기 하는 방식으로 동작합니다.

가상화폐 지갑 주소는 보안상의 이유로 긴 문자열의 형태로 만들어지기 때문에, 사용자들은 직접 타이핑하기 보다 클립보드를 이용해 복사/붙여넣기를 선호합니다.

이 악성코드는 사용자의 이러한 동작을 악용합니다.

공격을 위해, 먼저 공격자들은 사용자들이 정식 가상화폐 서비스인 MetaMask로 위장한 악성 앱을 다운로드 하도록 속입니다. 이 앱은 사용자들이 전체 이더리움 노드를 실행하지 않고도 웹 브라우저에서 이더리움 분산 앱을 실행할 수 있다고 주장합니다.

현재 정식 MetaMask는 크롬, 파이어폭스, 오페라, 브레이브 브라우저의 확장 프로그램의 형태로만 출시 된 상태이며, 모바일 앱 스토어에는 없는 상태입니다.

하지만 연구원들은 플레이스토어에서 MetaMask의 모바일 버전을 사용하고자 하는 유저들을 타겟으로 한 악성 MetaMask 앱을 발견했습니다. 이 앱은 사용자가 클립보드에 복사한 그들의 가상화폐 지갑 주소를 공격자의 것으로 바꿔치기합니다.

그 결과, 코인을 원하는 가상화폐 지갑으로 송금하려는 사용자들은 악성 앱이 바꿔치기 한 공격자의 주소로 이체하게 됩니다.

연구원은 이 거래가 일단 완료 되면 취소가 불가능하다고 밝혔습니다.

연구원은 이 앱이 스토어에 2월 1일 등록 되었으며, 안드로이드의 공식 플레이스토어에서 발견 된 최초의 안드로이드 클립보드 하이잭 트로이목마라 밝혔습니다.

구글은 연구원의 제보를 받은 직후 이 앱을 스토어에서 제거했습니다.

현재 알약에서는 해당 악성앱에 대하여 Trojan.Android.InfoStealer로 탐지중에 있습니다.

출처 :

https://thehackernews.com/2019/02/android-clickboard-hijacking.html

https://www.welivesecurity.com/2019/02/08/first-clipper-malware-google-play/

https://lukasstefanko.com/2019/02/android-clipper-found-on-google-play.html