구글, 플레이스토어에서 Joker에 감염된 앱 17개 제거해

Google removes 17 Joker -infected apps from the Play Store

 

Zscaler의 보안 연구원들이 플레이스토어에서 Joker(Bread) 악성코드에 감염된 앱 17개를 발견했습니다.

 

 Joker 악성코드는 시스템 앱으로 위장하고 있었으며 공격자가 구글 플레이 프로텍트 서비스를 비활성화 하고, 악성 앱을 설치하고, 가짜 리뷰를 생성하고, 광고를 노출하는 등 다양한 악성 작업을 수행할 수 있습니다.

 

또한 이 스파이웨어는 SMS 메시지, 연락처, 기기 정보를 훔치고 유료 서비스에 가입하는 것도 가능합니다.

 

지난 10월, 구글은 플레이스토어에서 Joker 악성코드에 감염된 앱 24개를 제거했습니다. 이 앱은 모두 472,000회 설치되었습니다.

 

지난 1월, 구글은 3년 동안 Joker 악성코드에 감염된 앱 1,700개 이상을 제거했다고 밝혔습니다.

 

2월에는 Check Point의 연구원들이 악명높은 Joker 악성코드가 공식 플레이스토어에 등록되기 전 시행되는 보안 체크를 우회하는 방법을 발견했다고 밝혔습니다.

 

7월에는 Joker 악성코드에 감염된 또 다른 앱 다수를 제거했습니다. 이 앱은 Anquanke의 보안연구원들이 발견했으며, 기기 수 백만 대를 감염시킨 것으로 나타났습니다.

 

지난 9월 초 구글은 Pradeo의 연구원들이 발견한 또 다른 앱 6개를 제거했습니다.

 

그리고 이번에는 ZScaler가 발견한 새로운 악성 안드로이드 앱 17개를 플레이스토어에서 제거했습니다.

 

전문가에 따르면 2020년 9월 서로 다른 샘플 17개가 구글 플레이스토어에 업로드 되었으며 총 120,000회 다운로드되었습니다.

 

구글 플레이스토어에서 발견된 감염된 앱 목록은 아래와 같습니다.

 

- All Good PDF Scanner

- Mint Leaf Message-Your Private Message

- Unique Keyboard - Fancy Fonts & Free Emoticons

- Tangram App Lock

- Direct Messenger

- Private SMS

- One Sentence Translator - Multifunctional Translator

- Style Photo Collage

- Meticulous Scanner

- Desire Translate

- Talent Photo Editor - Blur focus

- Care Message

- Part Message

- Paper Doc Scanner

- Blue Scanner

- Hummingbird PDF Converter - Photo to PDF

- All Good PDF Scanner

 

ZScaler는 첫 번째 공격 시나리오에서 일부 Joker 변종이 최종 페이로드가 C2 서버로부터 수신한 다이렉트 URL을 통해 전달하고 있었다고 밝혔습니다. 이 변종의 C2 주소는 문자열 난독화된 상태로 코드에 숨겨져 있었습니다.

 

두 번째 다운로드 시나리오에서 일부 감염 앱은 stager 페이로드를 사용해 최종 페이로드를 받아왔습니다. 이 경우 코드 자체에 인코딩된 stager 페이로드 URL은  AES(Advanced Encryption Standard)를 통해 암호화되었습니다.

 

세 번째 시나리오에서 감염된 구글 플레이스토어 앱 중 일부 그룹은 최종 페이로드를 받아오기 위해 stager 페이로드 2개를 사용하고 있었습니다. 해당 앱은 2단계 페이로드를 다운로드하는 1단계 페이로드를 다운로드합니다. 2단계 페이로드는 Joker 페이로드를 다운로드합니다.

 

이전의 두 시나리오와는 달리 감염된 앱은 응답 로케이션 헤더에 숨겨진 1단계 페이로드 URL을 얻기 위해 C2 서버에 연결합니다.

 

“안드로이드 기기에 설치하는 앱의 권한 목록에 특별히 주의를 기울여야 합니다. SMS, 전화 기록, 연락처 등 위험한 권한은 허용하지 말아야합니다. 앱 페이지 내 댓글 또는 리뷰 페이지를 읽는 것 또한 해킹된 앱을 식별하는데 도움이 될 수 있습니다.”

현재 알약M에서는 해당 악성코드 샘플에 대해 'Trojan.Android.Agent'으로 탐지 중입니다.

  

 

출처:

https://securityaffairs.co/wordpress/108821/cyber-crime/joker-apps-play-store.html

https://www.zscaler.com/blogs/security-research/joker-playing-hide-and-seek-google-play