2,500만 기기를 감염시킨 Agent Smith 안드로이드 악성코드 발견

Agent Smith Android malware already infected 25 million devices

Check Point 연구원들이 새로운 안드로이드 변종인 'Agent Smith'를 발견했습니다. 이 변종은 이미 약 2,500만 기기를 감염시킨 것으로 나타났습니다. 

이 악성코드는 구글과 관련된 애플리케이션으로 위장하고 있었으며 피해자의 어떠한 행동 없이도 기기에 설치된 앱을 자동으로 바꿔 치기 하고 알려진 안드로이드 취약점을 악용합니다.

대부분의 피해자들은 인도, 파키스탄, 방글라데시에 위치했으며 영국, 호주, 미국이 그 뒤를 따랐습니다.

Agent Smith 악성코드는 자신을 사진 편집 앱과 같은 유틸리티 앱, 성인용 엔터테인먼트, 게임 앱으로 위장하고 서드파티 앱 스토어를 통해 배포되었습니다. 

그리고 손상된 기기에 설치된 정식 APK에 악성코드를 주입하기 위해 Janus 결함 및 Man-in-the-Disk 결함을 포함한 알려진 안드로이드 취약점을 악용했습니다. 

이후 사용자의 상호작용 없이도 악성코드는 자동으로 재설치되고 업데이트되었습니다.

<이미지 출처: https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/>

전문가들은 이 악성코드가 3단계로 이루어진 공격 체인을 통해 악성 adv.Experts를 유포하고 수익을 얻기 위한 목적으로 중국 회사에서 개발되었다고 추측했습니다.

첫 번째 단계에서, 공격자는 피해자가 9Apps와 같은 서드파티 앱 스토어에서 드로퍼 애플리케이션을 다운로드하도록 유도합니다. 

이 드로퍼 애플리케이션은 해당 기기에 인기 있는 애플리케이션이 설치되었는지 확인한 후 Agent Smith 악성코드로 공격합니다.

드로퍼는 피해자 기기에 공격을 위한 발판을 마련하면 자동으로 악성 페이로드를 APK 파일에 복호화합니다. 이는 Agent Smith 공격의 핵심 부분입니다.

세 번째 단계에서는 기기에 설치된 애플리케이션들 중 타깃 리스트에 포함된 애플리케이션을 공격합니다.

이 악성코드는 정식 애플리케이션의 APK 파일을 추출하고, 악성 모듈을 더하여 패치한 다음 시스템 취약점들을 추가로 악용하여 정식 앱을 악성 앱으로 은밀히 바꿔치기합니다.

Agent Smith의 배후에 있는 공격자는 악성코드 개발에 많은 리소스를 투자한 것으로 보입니다. 

공격자는 모든 변경사항을 삭제할 수 있는 실제 안드로이드 업데이트가 적용되지 않도록 패치 모듈을 작동합니다.

이 패치 모듈은 자동 패치를 비활성화하려는 목적으로 오리지널 애플리케이션의 업데이트 디렉터리를 확인하고 이를 삭제합니다.

연구원들은 악성코드가 모듈형 구조이기 때문에 민감 정보를 탈취하는 등의 기능으로 쉽게 사용할 수 있다고 밝혔습니다.

구글 플레이 스토어에서도 Agent Smith 공격자와 관련된 감염된 앱이 발견되었는데, 휴면 상태인 SDK이지만 공격자들이 공식 스토어를 통해 안드로이드 사용자를 타깃으로 한다는 것을 시사한다고 전했습니다.

구글은 발견된 앱들을 플레이 스토어에서 모두 제거했습니다.

Agent Smith가 2017년 알려진 취약점들을 악용하기 때문에 전문가들은 신뢰할 수 있는 앱 스토어에서 앱을 다운로드하고 기기를 최신 상태로 유지할 것을 권고했습니다. 

또한, Janus 결함을 악용하는 것을 방지하기 위해 개발자들은 최신 APK Signature Scheme V2를 구현할 것을 권고했습니다.

출처:

https://securityaffairs.co/wordpress/88272/malware/agent-smith-android-malware.html

https://research.checkpoint.com/agent-smith-a-new-species-of-mobile-malware/