상세 컨텐츠

본문 제목

1억 회 이상 다운로드 기록한 안드로이드 앱에서 Clicker 트로이목마 발견돼

국내외 보안동향

by 알약(Alyac) 2019. 8. 12. 10:08

본문

Android Apps With Over 100M Installs Contain a Clicker Trojan


구글 플레이 스토어 33개 이상의 앱에서 클릭커(clicker) 트로이목마가 포함된 것이 발견되었습니다. 해당 앱들은 총 1억 회 이상 다운로드 되었습니다.


이 악성코드는 오디오 플레이어, 바코드 스캐너, 사전 등 무해해 보이는 애플리케이션에 추가될 수 있는 악성 모듈로써 설계되었습니다.


Dr.Web의 연구원들이 발견한 이 앱들은 완벽히 동작했으며, 인터페이스 내 어떠한 경고도 표시하지 않았습니다. 


또한 설치 후 자신의 아이콘을 숨기거나, 기능에 비해 과한 사용자 권한을 요청하는 등 다른 악성 애플리케이션들이 하는 이상 행동을 보이지 않았습니다.


클릭커(Clicker) 트로이목마는 감염된 기기의 메모리에서 활성화된 상태로 피해자 몰래 웹 페이지를 여는 등 백그라운드에서 다양한 광고 사기 관련 작업을 수행하는 악성코드입니다.



클릭커(Clicker), 피해자를 유료 서비스에 가입시켜


Android.Click.312.origin로 명명된 클릭커 트로이목마는 백신 탐지를 피하기 위해 이 악성코드를 포함하는 앱이 실행된 지 8시간 후에 활성화됩니다.


이 악성코드는 감염된 안드로이드 기기에서 다음의 시스템 정보 수집을 시작합니다:

- OS 버전

- 기기의 제조사 및 모델

- 사용자 거주 국가

- 인터넷 연결 유형

- 사용자 시간대

- 클릭커 트로이목마 모듈이 포함된 앱 정보


위의 모든 정보 및 기타 정보는 패킹되어 악성코드의 C&C 서버로 전송되고, C&C 서버는 명령 및 사용될 새로운 모듈을 다시 전송합니다. 


이 모듈은 Android.Click.312.origin가 애플리케이션의 설치 및 업데이트를 모니터링하는데 사용할 브로드캐스트 리시버 및 콘텐츠 옵저버 등록을 위해 사용됩니다.


사용자가 감염된 기기에서 플레이 스토어나 APK 인스톨러를 통해 새로운 애플리케이션을 설치하면, 이 트로이목마는 기기 및 새로이 설치된 앱의 정보 및 기술 데이터를 C&C 서버로 전송합니다. 


C&C 서버는 보이지 않는 WebView 또는 플레이스토어에서 피해자 기기에서 오픈할 URL을 다시 보냅니다.


이 트로이목마는 C&C 서버의 설정 및 보내는 명령에 따라, 구글 플레이의 애플리케이션을 광고할 수 있을 뿐만 아니라 광고 또는 수상쩍은 콘텐츠를 포함한 모든 웹사이트를 은밀하게 로드할 수 있습니다.


어떤 피해자는 고가의 컨텐츠 제공 서비스에 자동으로 가입되었다고 제보했습니다.


연구원들은 발견한 트로이목마 샘플을 구글에 제보했다고 밝혔습니다. 제보된 앱은 제거되거나, 일부는 업데이트를 통해 악성 모듈이 삭제되었습니다.


연구원들은 애플리케이션을 이용해 수익을 창출하는 개발자들은 모듈을 책임감 있게 선택하고, 수상한 SDK를 소프트웨어에 통합하지 말 것을 권장했습니다.

현재 알약M에서는 해당 트로이목마에 대해 'Trojan.Android.Click'으로 탐지 중에 있습니다.






출처:

https://www.bleepingcomputer.com/news/security/android-apps-with-over-100m-installs-contain-a-clicker-trojan/

https://vms.drweb.com/virus/?i=18327279

관련글 더보기

댓글 영역