구글 플레이 스토어의 방어를 지속적으로 회피하는 Joker 안드로이드 악성코드

Joker Android malware keeps evading Google Play Store defenses

Joker 안드로이드 악성코드가 또다시 구글의 공식 안드로이드 앱스토어인 플레이 스토어에 침투하는데 성공했습니다.

Joker 악성코드는 Bread라고도 알려진 스파이웨어이자 유료 번호 다이얼 툴로 이 악성코드에 감염된 애플리케이션은 초기에는 SMS 사기를 목적으로 설계되었습니다.

하지만 Joker의 제작자들은 최근 구글이 SEND_SMS 권한 사용을 제한하고 구글 플레이 프로텍트의 적용 범위를 늘리는 정책을 도입한 이후로 새로운 전략을 사용하기 시작했습니다.

이 안드로이드 트로이목마의 업데이트된 버전은 요금 사기(toll fraud)로 알려진 모바일 결제 사기에 이용되는 것으로 나타났습니다.

Joker의 운영자들은 악성 앱을 이용한 새로운 전략을 통해 피해자가 모바일 소액 결제를 통해 다양한 콘텐츠를 구매 또는 구독하도록 속입니다.

구글의 플레이 스토어 방어 우회

Joker의 새로운 변종은 성공적으로 플레이 스토어에 침투했으며 무해해 보이는 앱의 AndroidManifest 파일 내부의 Base64로 인코딩된 문자열 내 페이로드를 dex 파일로 숨겨 안드로이드 사용자를 감염시켰습니다.

이로써 이 악성 프로그램은 등록 프로세스 중에 분석이 이루어지는 동안 성공적으로 탐지를 피하고 악성 컴포넌트를 해킹된 기기에 다운로드 하기 위해 C&C 서버에 연결하지 않아도 됩니다.

새로운 Joker 변종을 발견한 Check Point 연구원들은 구글에 앱 11개를 신고했으며, 이 앱은 2020년 4월 30일 공식 안드로이드 스토어에서 제거되었습니다.

 

<이미지 출처: https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/>

Check Point의 Aviran Hazum은 Joker의 새로운 전략이 아래 3단계로 이루어져 있다고 밝혔습니다.

1. 페이로드를 먼저 빌드하기: Joker는 페이로드를 미리 빌드하여 Android Manifest 파일에 삽입합니다.

2. 페이로드 로딩 건너뛰기: 평가가 이루어지는 기간 동안 Joker는 악성 페이로드를 로드하려고 시도하지 않기 때문에 구글의 플레이 스토어 보안을 우회하기 쉽습니다.

3. 악성코드 확산: 평가 기간이 끝나고 승인이 완료되면 악성 캠페인이 시작되어 악성 페이로드가 결정 및 로드됩니다.

“우리의 최신 조사 결과에 따르면, 구글 플레이 스토어의 보호는 충분하지 않은 것으로 나타났습니다. 구글 플레이 스토어에 매주 Joker가 수 없이 업로드되고 있는 것을 발견했습니다. 이 앱들은 모두 부주의한 사용자들이 다운로드 한 상태입니다.”

Joker 페이로드에 감염된 것으로 나타난 모든 앱의 악성코드 샘플 해시 및 안드로이드 패키지 이름 목록은 아래 표에서 확인하실 수 있습니다.

이 Joker 악성코드에 감염된 앱을 설치했을 경우 즉시 제거하시기 바랍니다.

또한 모바일 및 신용카드 청구서를 확인하셔서 새로운 구독 내용이 있는지 확인하고 발견될 경우 즉시 구독을 해지하시기 바랍니다.

플레이 스토어에서 탐지되지 않기 위한 끊임없는 전략 수정

구글은 2020년 1월 플레이 스토어에서 구글의 플레이 프로텍트를 통해 Joker에 감염된 애플리케이션 약 1,700개를 제거했다고 밝혔습니다.

구글이 새로운 정책을 도입하고 구글 플레이 프로텍트의 보호 범위를 늘리고 있기 때문에 Joker의 제작자들은 지속적으로 전략을 변경하며 플레이 스토어의 방어를 뚫기 위해 노력하고 있습니다.

안드로이드 보안 & 프라이버시 팀의 Alec Guertin과 Vadim Kotov는 아래와 같이 밝혔습니다.

“이들은 탐지되지 않기 위해 거의 모든 클로킹 및 난독화 기술을 사용하고 있습니다.”

“이 샘플들 중 다수는 플레이 스토어에 탐지되지 않은 채 침투하기 위해 특별히 설계되었으며 다른 어디에서도 찾아볼 수 없었습니다.”

현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Agent'으로 탐지 중입니다.

출처:

https://www.bleepingcomputer.com/news/security/joker-android-malware-keeps-evading-google-play-store-defenses/

https://research.checkpoint.com/2020/new-joker-variant-hits-google-play-with-an-old-trick/