캡챠코드를 우회하는 정교한 악성앱, 구글 플레이 스토어에서 발견
Sophisticated CAPCHA-Bypassing Malware Found in Google Play, According to Bitdefender Researchers
캡챠코드를 우회하는 정교한 안드로이드 악성앱이 구글 플레이에서 발견되었습니다.
이 앱은 사용자 몰래 프리미엄 요금을 내야하는 유로 서비스에 가입을 하도록 합니다. 비트디펜더에서 Android.Trojan.MKero.A로 탐지하는 이 악성앱은 지난 2014년 처음 발견되었으며, 현재까지 가장 많이 감염된 국가는 러시아 인것으로 확인되었습니다.
그 동안 써드파티 앱스토어나 유럽 동부의 로컬 소셜 네트워크를 통해서만 배포되었으며, 공식 구글 플레이 스토어에 나타난 것은 이번이 처음입니다. 악성앱 개발자들이 구글의 앱 베팅 시스템인 Google Bouncer를 통과할 수 있도록 악성 앱을 패킹하는 새로운 방법을 찾아낸 것으로 보입니다.
이 악성앱의 특징은 텍스트 이미지 인식 서비스인 antigate.com의 캡챠 인증 시스템을 우회할 수 있다는 점 입니다. 또한 유료 서비스 및 수신한 SMS 메시지 릴레이와 관련한 설정 세팅을 내려받기 위해 C&C 인프라를 이용합니다. 공격 과정은 아래와 같습니다.
C&C 서버에서 받은 타겟 웹사이트 로딩 이미지 내 텍스트 인식을 위해 캡챠 이미지 추출 타겟 웹사이트의 캡차 코드 로딩 코드 또는 활성화 링크를 위한 SMS 코드 파싱 활성화 링크 로딩 확인 SMS 전송 SMS 코드를 이용하여 웹사이트 로딩 |
<일반적인 서비스 가입 절차>
또한 개발자들은 멀웨어의 분석을 어렵게 하기 위해 난독화 툴을 사용하여 클래스, 함수, C&C 서버를 숨겼습니다. 구글 플레이에 등록되어 있는 7개의 악성앱을 분석한 결과, 랜덤하게 생성된 C&C 서버명을 발견할 수 있었습니다.
<악성앱이 연결하는 C&C 서버 리스트>
구글 플레이에 등록된 두개의 악성앱은 각각 100,000, 500,000 누적 다운로드 수를 기록하였습니다.
구글플레이에서 발견된 악성앱 및 MD5는 아래와 같습니다.
irontubegames.tower3d
Version: 8 1.0.8 – MD5: c8455e21d9768d5976fdfe867605a8de
likegaming.rd
Version: 3 1.3 – MD5: e3b1ecb491ecf424358ead583b21d8f6
Version: 5 1.5 392d9472352a1af31acde7cbb26c854e
likegaming.gtascs
Version: 1 1.0 – MD5: 14cdf116704af262174eb0678fd1b368
likegaming.rcdtwo
Version: 4 1.3 – MD5: 869624aeef3a9c848ed4e657dc852fff
Version: 7 1.6 – MD5: 39b84a45e82d547dc967d282d7a7cd1e
Version: 5 1.4 – MD5: 3692d7b6e121d36106f808622cdd52e7
likegaming.rcd
Version: 10 1.8 – MD5: 0460d0a51dcf3e4b16c2303d5c36e0ee
Version: 6 1.4 – MD5: 569c4a7a0309477c7b17fb549b4a956a
Version: 7 1.5 – MD5: f6c0409fffa4a8f5ca6b4f444bae297c
Version: 8 1.6 – MD5: df32f9d5ff0572a8f40d8d9edadb1968
Version: 9 1.7 – MD5: 61f0c2e4eaa49dd49c43f2caef83b1bf
likegaming.ror
Version: 9 1.6.0.3 MD5: 7238fc5f14bdee958c7b41b13d6f3ca8
Version: 10 1.6.0.4 MD5: 69820ddcab4fe0c6ff6a77865abf30b9
uberspot.a2048mk
Version: 19 1.96 – MD5: 72ba0eef80e7abe28ff8ab40ffb301d2
현재 알약 안드로이드 에서는 해당 악성앱들에 대하여 Trojan.Android.Generic.Likegame로 탐지하고 있습니다.
참고 :
* 해당 블로그 포스트는hotforsecurity로 부터 공식적으로 인용 허가를 받았습니다.
구글, 안드로이드 새 버전 마시멜로우에서 모바일 랜섬웨어의 스크린 잠금 기능에 대응 예정 (0) | 2015.09.17 |
---|---|
Zimperium, 안드로이드 Stagefright 익스플로잇 코드 공개 (0) | 2015.09.11 |
XMPP프로토콜로 통신하는 새로운 안드로이드 랜섬웨어 발견! (0) | 2015.09.08 |
[해외보안동향] Google, Mozilla, Microsoft 2016년 초 RC4 지원 종료 예정 (0) | 2015.09.03 |
[해외보안동향] CERT, 벨킨 N600 라우터의 수 많은 버그에 대해 경고 (0) | 2015.09.03 |
댓글 영역