유료서비스에 은밀히 가입하는 WAPDropper 악성코드 발견

New WAPDropper malware stealthily subscribes you to premium services

 

보안 연구원들이 모바일 전화 기기 사용자들을 노리는 새로운 악성코드 패밀리에 대해 경고했습니다. 이 악성코드는 사용자들을 정식 유료 서비스에 은밀히 가입시키는 것으로 나타났습니다.

 

WAPDropper라 명명된 이 악성코드는 2단계 악성코드를 전달 가능하고, 머신러닝 솔루션을 통해 이미지 기반 CAPTCHA를 우회할 수 있는 다기능 드롭퍼입니다.

 

다기능 드롭퍼

최근 캠페인에서 WAPDropper을 발견한 사이버 보안 회사인 Check Point는 이 악성코드가 피해자를 말레이시아와 태국의 통신사에서 제공하는 유료 서비스에 가입시키는 것을 발견했습니다.

 

악성코드 분석 결과, 이는 해킹된 기기에 다른 악성코드를 다운로드하고 실행할 수 있는 다기능 드롭퍼 기능을 수행하는 두 모듈을 포함한 것으로 나타났습니다.

 

한 모듈은 명령 및 제어 서버에서 2단계 악성코드를 가져오고, 또 다른 모듈은 유료 다이얼러 컴포넌트를 가져오는 역할을 합니다.

 

Check Point의 모바일 연구원인 Aviran Hazum은 아래와 같이 언급했습니다.

“WAPDropper는 현재 유료 다이얼러를 드롭하지만, 나중에 이 페이로드는 공격자가 원하는 어떤 페이로드로도 변경될 수 있습니다.”

이들이 돈을 벌어들이는 방법은 간단합니다. 유료 번호로 더 많이 전화를 걸 수록 해당 번호의 소유주는 더 많은 돈을 벌어들이게 됩니다. 공격자는 해당 번호의 소유주이거나 소유주의 파트너일 수 있습니다.

 

CAPTCHA 우회

Check Point에 따르면 WAPDropper는 비공식 스토어에서 제공되는 앱에 악성코드를 통합시키는 흔한 전략을 사용합니다.

 

악성코드가 피해자의 기기에 설치되면, 이는 유료 다이얼러를 받기 위해 명령 및 제어 서버(C2)에 연결합니다.

 

연구원들은 이 악성코드가 아래 정보를 포함한 감염 기기의 세부정보를 수집하는 것으로 공격이 시작된다고 밝혔습니다.

 

- 디바이스 ID

- Mac 주소

- 가입자 ID

- 디바이스 모델

- 설치된 모든 앱 목록

- 실행 중인 서비스 목록

- 최상위 활동 패키지 명

- 스크린 켜짐 여부

- 해당 앱의 알림이 활성화 되었는지 여부

- 해당 앱이 다른 앱 위에 그리기가 가능한지

- 사용 가능한 저장 공간 용량

- 총 RAM 용량 및 사용 가능한 RAM 용량

- 시스템 앱이 아닌 앱의 목록

 

 

이후 유료 서비스의 랜딩 페이지가 로드되고, 가입을 완료하기 위해 webview 컴포넌트가 시작됩니다. 스크린의 1픽셀을 사용하기 때문에 화면에 거의 보이지 않습니다.

 

 

<이미지 출처: https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/>

 

 

연구원들은 가입 시 이미지 기반 CAPTCHA 문제를 풀어야 할 경우 WAPDropper는 중국 회사의 “Super Eagle” 서비스를 사용한다고 밝혔습니다. 이는 머신 러닝 기술을 사용한 이미지 인식 솔루션입니다.

 

WAPDropper는 두 가지 방법으로 CAPTCHA 문제를 해결할 수 있습니다.

 

하나는 CAPTCHA 이미지를 다운로드해 서버로 전송하는 것이고, 파일의 DOM 트리를 추출해 Super Eagle 중국 회사의 서버로 전송하는 것입니다.

 

 

<WAPDropper의 CAPTCHA 인식>

<이미지 출처: https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/>

 

 

연구원들에 따르면, WAPDropper는 비공식 안드로이드 스토어를 통해 배포됩니다. 비공식 마켓을 사용하지 않을 경우 이 악성코드에 감염될 위험을 줄일 수 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-wapdropper-malware-stealthily-subscribes-you-to-premium-services/

https://research.checkpoint.com/2020/enter-wapdropper-subscribe-users-to-premium-services-by-telecom-companies/