악성 앱 배포하기 위해 APKPure 스토어 조작돼

 

 

Hackers Tampered With APKPure Store to Distribute Malware Apps

 

공식 구글 플레이스토어를 제외하고 가장 규모가 큰 서드파티 앱 스토어인 APKPure가 악성코드에 감염되어 공격자가 안드로이드 기기에 트로이목마를 배포할 수 있었던 것으로 드러났습니다.

 

독일의 통신 장비 제조 업체인 Gigaset에서 있었던 사건과 유사하게, APKPure 클라이언트 버전 3.17.18은 악성 애플리케이션을 다운로드 및 설치하도록 사용자를 속이기 위해 조작된 것으로 나타났습니다.

 

Dr.Web의 연구원들은 이에 대해 아래와 같이 밝혔습니다.

 

“이 트로이목마는 사용자의 허가 없이 소프트웨어를 다운로드, 설치, 제거할 수 있는 위험한 Triada 악성코드 계열에 속합니다.”

 

Kaspersky에 따르면 APKPure 버전 3.17.18 버전은 다른 악성코드를 전달하기 위해 설계된 트로이목마 드롭퍼 역할을 하는 광고 SDK를 통합하도록 조작된 것으로 나타났습니다.

 

Kaspersky의 Igor Golovin은 아래와 같이 밝혔습니다.

 

“이 컴포넌트는 잠금 화면에 광고를 보여주고, 브라우저 탭을 열고, 기기와 관련된 정보를 수집하고, 다른 악성코드를 다운로드 할 수 있습니다.”

 

이에 대응하기 위해 APKPure는 4월 9일 악성 컴포넌트를 제거하는 앱의 새로운 버전 (3.17.19)을 공개했습니다.

 

앱 배포 플랫폼의 개발자는 개발 노트에서 아래와 같이 언급했습니다.

 

“잠재적인 보안 문제를 수정하여 APKPure를 더욱 안전하게 사용할 수 있게 되었습니다.”

 

 

Joker 악성코드, 화웨이 앱 갤러리에 침투해

 

악성코드의 공격을 받은 써드파티 안드로이드 앱 허브는 APKPure 뿐만이 아닙니다. 이번 주 초, Doctor Web의 연구원들은 화웨이의 AppGallery에서 Joker (또는 Bread) 트로이목마에 감염된 앱 10개를 발견했습니다. 이는 화웨이의 공식 앱스토어에서 악성코드가 발견된 첫 번째 사례입니다.

 

미끼 앱은 가상 키보드, 카메라, 메시징 앱으로 각각 다른 개발자의 작업이었습니다. 이 앱에는 사용자가 자신도 모르는 사이 자동으로 유료 서비스를 구독하도록 만드는 추가 페이로드를 다운로드하기 위해 C2 서버에 연결하는 코드가 숨겨진 상태였습니다.

 

현재 이 앱들은 AppGallery 스토어에서 숨겨진 상태이지만, 이미 해당 앱을 기기에 설치한 사용자는 기기에서 앱을 삭제하기 전까지는 여전히 위험에 처한 상태입니다. 악성 앱 목록은 아래와 같습니다.

 

- Super Keyboard (com.nova.superkeyboard)
- Happy Colour (com.colour.syuhgbvcff)
- Fun Color (com.funcolor.toucheffects)
- New 2021 Keyboard (com.newyear.onekeyboard)
- Camera MX – Photo Video Camera (com.sdkfj.uhbnji.dsfeff)
- BeautyPlus Camera (com.beautyplus.excetwa.camera)
- Color RollingIcon (com.hwcolor.jinbao.rollingicon)
- Funney Meme Emoji (com.meme.rouijhhkl)
- Happy Tapping (com.tap.tap.duedd)
- All-in-One Messenger (com.messenger.sjdoifo)

 

또한 연구원들은 동일한 악성코드 페이로드가 Joker의 또 다른 버전에 사용되었다고 밝혔습니다. 또한 해당 버전이 Shape Your Body Magical Pro, PIX Photo Motion Maker 등의 앱을 통해 구글 플레이에서 확산되었다고 밝혔습니다.

 

모든 앱은 현재 플레이스토어에서 제거된 상태입니다.

 

현재 이스트시큐리티 알약M에서는 해당 악성코드 샘플을 'Trojan.Android.Dropper', 'Adware.Android.Agent'로 탐지 중입니다.

 

 

 

 

출처:

https://thehackernews.com/2021/04/hackers-tampered-with-apkpure-store-to.html

https://news.drweb.com/show/?i=14188&lng=en

https://www.kaspersky.com/blog/infected-apkpure/39273/