상세 컨텐츠

본문 제목

구글 플레이 프로텍트를 비활성화 하고 가짜 앱 리뷰를 등록하는 안드로이드 트로이목마 발견

국내외 보안동향

by 알약(Alyac) 2020. 1. 13. 09:05

본문

Android Trojan Kills Google Play Protect, Spews Fake App Reviews


공격자들이 시스템 앱으로 위장한 안드로이드 악성코드를 통해 구글 플레이 프로텍트 서비스 비활성화, 가짜 리뷰 생성, 악성 앱 설치, 광고 노출 등과 같은 공격을 실행한 것으로 나타났습니다.


Trojan-Dropper.AndroidOS.Shopper.a라 명명된 이 악성코드는 여러 번 난독화 되었으며, 안드로이드 기기가 처음 부팅되었을 때 앱 구성을 담당하는 정식 안드로이드 서비스와 매우 유사한 시스템 아이콘과 ConfigAPK 이름을 사용합니다.


카스퍼스키 랩의 연구원인 Igor Golovin은 "Trojan-Dropper.AndroidOS.Shopper.a는 지난 2019년 10월~11월 사이에 러시아에서(28.46%) 가장 널리 확산되었습니다. 브라질(18.70%)과 인도(14.23%)가 뒤를 이었습니다.”라고 밝혔습니다.


<출처: https://securelist.com/smartphone-shopaholic/95544/>


악성 플레이 스토어 홍보 서비스


이 악성코드는 피해자의 안드로이드 기기를 감염시킨 후 페이로드를 다운로드 및 복호화 합니다. 그 후 바로 국가, 네트워크 유형, 제조사, 스마트폰 모델, 이메일 주소, IMEI, IMSI와 같은 기기 정보를 수집하기 시작합니다.

수집한 모든 데이터는 운영자의 서버로 전송되며, 서버는 감염된 스마트폰이나 태블릿에서 실행될 명령어로 응답합니다.


공격자들은 Shopper.a 트로이목마를 통해 사용자 모르게 플레이 스토어에서 악성 앱에 높은 별점을 주고, 가짜 앱 리뷰를 남기고, 플레이 스토어 또는 써드파티 앱 스토어에서 다른 앱을 설치합니다.


이 모든 것은 안드로이드 접근성 서비스를 악용했기 때문에 가능했습니다. 많은 악성코드가 사용자의 조작 없이 악성 행동을 실행하기 위해 이 기능을 악용해왔습니다. 이 서비스에 접근할 권한이 없을 경우 트로이목마는 사용자를 피싱해 권한을 얻으려 시도합니다.


또한 이 악성코드는 구글 플레이 프로텍트를 비활성화합니다. 구글 플레이 프로텍트는 구글이 악성코드 예방을 위해 안드로이드에 내장한 보안 기능입니다. 이를 통해 공격자들은 아무런 방해 없이 악성 행위를 계속할 수 있게 됩니다.


<명령을 수신하는 Shopper.a>

<출처: https://securelist.com/smartphone-shopaholic/95544/>


“이 트로이목마는 공식 출처가 아닌 앱을 설치하는 권한이 없더라도 아무런 문제가 없습니다. 접근성 서비스를 통해 필요한 권한을 자신에게 부여할 수 있기 때문입니다.”


“악성코드가 이 권한을 손에 넣을 경우 시스템 인터페이스와 앱에 거의 제한 없이 접근할 수 있게 됩니다. 예를 들어 스크린에 표시되는 데이터에 인터셉트, 버튼 클릭, 사용자 제스쳐 에뮬레이션 등이 가능해집니다.”


주인에게 어떤 명령을 받느냐에 따라, Shopper.a는 아래 명령 중 하나 이상을 실행할 수 있습니다.


- 보이지 않는 창에서 원격 서버에서 받은 링크 오픈하기 (악성코드는 이를 통해 사용자가 모바일 네트워크에 연결되어 있는지 확인합니다.)

- 스크린 언락이 특정 횟수 일어나면 자기 자신을 앱 메뉴에서 숨깁니다.

- 접근성 서비스 권한을 얻었는지 확인 후 권한이 없을 경우 사용자에게 정기적으로 피싱을 시도합니다.

- 구글 플레이 프로텍트를 비활성화 합니다.

- 앱 메뉴에 광고된 사이트로 연결되는 바로가기를 생성합니다.

- 써드파티 마켓 Apkpure[.]com에서 앱을 다운로드 후 설치합니다.

- 구글 플레이에서 광고 앱을 오픈하고 클릭해 설치합니다.

- 설치된 앱의 바로가기를 광고 사이트로 바꿔치기합니다.

- 해당 구글 플레이 사용자의 계정으로 가짜 리뷰를 게시합니다.

- 스크린이 잠김 상태일 경우 광고를 표시합니다.

- 사용자의 구글이나 페이스북 계정을 통해 여러 앱에 가입합니다.


연구원들은 이 모든 행동은 광고주를 속이는데 악용될 수 있다고 덧붙였습니다.


현재 알약 M에서는 해당 악성앱들에 대해 Trojan.Android.Agent로 탐지중에 있습니다. 


출처 :


관련글 더보기

댓글 영역