상세 컨텐츠

본문 제목

뉴스 업데이트를 제공하겠다던 안드로이드 앱, ESET에 DDoS 공격 실행

국내외 보안동향

by 알약(Alyac) 2020. 5. 13. 14:00

본문

Android app promised to serve news updates, served ESET with a DDoS attack instead


ESET이 구글 플레이스토어에서 호스팅된 악성 뉴스 앱에서 실행된 DDoS 공격을 차단한 것으로 나타났습니다.


“Updates for Android”라는 앱은 평점 4.3을 기록하고 많은 좋은 리뷰를 받았지만, DDoS 공격을 실행하기 위하여 은밀히 봇을 생성하고 있었습니다.


이 앱은 2019년 9월 9일 처음 구글 플레이에 등록되었으며, 최대 5만 건의 설치를 기록하며 인기가 치솟았습니다.



<이미지 출처: https://www.welivesecurity.com/2020/05/11/breaking-news-app-promises-news-brings-ddos-attacks/>



“Update for Android”는 뉴스 피드를 제공하는 정식 소프트웨어 앱으로 위장해 운영해 왔으며 최근에는 악성 목적으로 사용할 수 있는 기능만을 업데이트한 것으로 나타났습니다.


연구원들은 악성 업데이트가 이후, 사용자 기기에 설치 및 업데이트된 앱 인스턴스의 수는 확실히 알 수 없었다고 밝혔습니다.


문제의 기능은 공격자가 제어하는 서버에서 JavaScript를 사용자 기기에 로드 및 실행할 수 있었습니다.


이 기능은 공격 2주 전 업데이트되었기 때문에 구글 플레이의 보안 제어를 우회할 수 있었던 것으로 추측됩니다.


업데이트를 받은 후, 이 악성 앱은 공격자의 C2 서버에 15분마다 핑을 보내 명령을 확인하고, 해당 앱이 활성화된 기기의 ID 또한 서버로 전달되었습니다.


ESET은 이 앱이 모바일 기기의 기본 브라우저에 악성 광고를 표시할 수 있었으며 아이콘을 숨기고 C2에서 받은 임의 JavaScript를 실행할 수도 있었다고 밝혔습니다.


ESET의 웹사이트를 타깃으로 실행된 DDoS 공격은 이 JavaScript를 통해 발생했으며, 그 결과 트래픽이 과도하게 증가했습니다.


Eset.com 웹사이트를 노린 DDoS 공격은 올해 1월부터 실행되었습니다. 


이 DDoS 공격은 고유 IP 주소 4천 개 이상에서 7시간 이상 발생했으며, 이 중 수천 건이 Updates for Android를 통해 발생했습니다.


ESET은 C2 추적 결과 전자 상거래 및 뉴스 사이트 다수에 또 다른 스크립트가 배포되었으며 대부분이 터키에 위치해 있었다고 밝혔습니다.


연구원들은 DDoS의 출처를 확인 후 구글에 이를 제보했고 현재 이 앱은 구글 플레이에서 제거된 상태입니다.


이러한 악성 기능을 탐지해내는 것은 쉽지 않습니다. 많은 안드로이드 소프트웨어 개발 키트와 프레임워크에서 악성 JavaScript를 사용하지 않을 뿐 동일한 기능을 제공하고 있기 때문입니다.


해당 코드를 탐지하려 시도할 경우 많은 오탐지가 발생할 것입니다.


Update for Android와 관련된 웹사이트인 i-updater[.]com는 도메인 자체가 악성은 아니기 때문에 차단을 요청할 근거가 없어 아직까지 활성화된 상태입니다.


이 악성 앱은 여전히 서드파티 및 비공식 업데이트 스토어에서 다운로드가 가능한 상태입니다.


현재 알약M에서는 동일 코드의 악성 앱을 "Trojan.Android.HiddenAds"으로 탐지하고 있습니다.





출처:

https://www.zdnet.com/article/android-app-promised-to-serve-news-updates-served-eset-with-a-ddos-attack-instead/

https://www.welivesecurity.com/2020/05/11/breaking-news-app-promises-news-brings-ddos-attacks/

관련글 더보기

댓글 영역