1.5억 회 이상 설치된 안드로이드 앱에서 SimBad 애드웨어 발견돼

SimBad Adware Found in 210 Android Apps With Over 150M Installs

구글이 총 1.5억 회 이상 설치된 안드로이드 앱 210개를 제거했습니다. 공격자들은 이 앱들을 통해 기기에서 광고를 표시하고, 앱을 설치하고, 기기가 시작되면 웹사이트를 팝업 했습니다.

이 모든 앱들은 악성 소프트웨어 개발 키트인 “RXDrioder”를 사용하여 공격자들이 안드로이드 기기가 부팅 되거나 사용자가 화면을 잠금 해제할 때 광고를 표시하고 URL을 오픈하도록 만들었습니다. 

앱 개발자들이 의도적으로 이 악성 라이브러리를 활용한 것인지, 아니면 공격자들에게 속아서 사용하게 되었는지는 아직까지 밝혀지지 않았습니다.

Check Point의 보고서에 따르면, 이 악성 앱들은 Snow Heavy Excavator Simulator, Ambulance Rescue Driving, Water Surfing Car Stunt 등 대부분 드라이빙/레이싱 시뮬레이터 게임에서 확인되었기 때문에 ‘SimBad’라 이름 붙여졌습니다. 

이 앱들은 총 1.5억 회 다운로드 되었으며, 특히 "Snow Heavy Excavator Simulator" 앱은 1,000만 회 이상 설치되었습니다.

[Snow Heavy Excavator Simulator 설치 수]

<이미지출처: https://www.bleepingcomputer.com/news/security/simbad-adware-found-in-210-android-apps-with-over-150m-installs/>

이 앱들이 설치되면, 사용자가 기기를 부팅하거나 잠금을 해제했을 때 자동으로 실행 되도록 스스로 설정합니다. 사용자가 눈치채지 못하게 기기에서 광고를 표시하기 시작합니다.

[Snow Heavy Excavator Simulator 앱 리뷰 화면]

<이미지 출처: https://www.bleepingcomputer.com/news/security/simbad-adware-found-in-210-android-apps-with-over-150m-installs/>

이 애드웨어 앱이 시작되면, 아래 공격 흐름에 표시된 것과 같이 명령어을 입력 받아 실행시키기 위해 www.addroider.com에 위치한 C&C 서버에 연결합니다.

 [SimBad 공격 흐름]

<이미지 출처: https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/>

이후 C&C 서버는 실행할 명령어로 응답을 보냅니다. 

아래 이미지에서는 앱을 제거하기 힘들도록 하기 위해 런처(Lancher)에서 앱의 아이콘을 제거하는 것, 알림 표시, 백그라운드 광고 시작, URL 오픈, 다른 앱 홍보 및 다운로드하기 위해 구글 플레이 스토어 및 9Apps을 팝업 하는 등 앱으로 보낼 수 있는 명령 목록을 찾아볼 수 있습니다.

<이미지 출처: https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/>

이 악성 SDK가 활용한 addroider.com 도메인은 GoDaddy 호스팅 사이트에 등록되어 있고, 개인 정보 보호 기능이 활성화되어 있어 많은 정보가 알려 지지 않았습니다.

브라우저에서 도메인에 액세스하는 동안 다른 멀웨어와 매우 유사한 로그인 페이지를 확인할 수 있습니다. '등록'과 '계정 생성' 링크가 끊어지고 사용자를 다시 로그인 페이지로 리다이렉션합니다.

<이미지 출처: https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/>

Check Point는 이전에는 이러한 앱들이 광고 팝업용으로 사용되었지만, 공격자들은 이 앱의 웹 페이지 팝업 기능을 활용하여 스피어 피싱에 악용했을 가능성도 있다고 밝혔습니다.

연구원들은 2019년 1월 28일 구글에 이 악성 앱들을 신고했으며, 2019년 2월 22일 구글로부터 앱을 제거했다는 답변을 받았습니다.

현재 알약에서는 해당 랜섬웨어에 대해 Adware.Android.AirPush, Adware.Android.HiddenAds, Adware.Android.AdDisplay

로 탐지중에 있습니다. 

출처:

https://www.bleepingcomputer.com/news/security/simbad-adware-found-in-210-android-apps-with-over-150m-installs/

https://research.checkpoint.com/simbad-a-rogue-adware-campaign-on-google-play/

https://www.virustotal.com/it/domain/addroider.com/information/