캡챠코드를 우회하는 정교한 악성앱, 구글 플레이 스토어에서 발견

캡챠코드를 우회하는 정교한 악성앱, 구글 플레이 스토어에서 발견

Sophisticated CAPCHA-Bypassing Malware Found in Google Play, According to Bitdefender Researchers

캡챠코드를 우회하는 정교한 안드로이드 악성앱이 구글 플레이에서 발견되었습니다. 

이 앱은 사용자 몰래 프리미엄 요금을 내야하는 유로 서비스에 가입을 하도록 합니다. 비트디펜더에서 Android.Trojan.MKero.A로 탐지하는 이 악성앱은 지난 2014년 처음 발견되었으며, 현재까지 가장 많이 감염된 국가는 러시아 인것으로 확인되었습니다. 

그 동안 써드파티 앱스토어나 유럽 동부의 로컬 소셜 네트워크를 통해서만 배포되었으며, 공식 구글 플레이 스토어에 나타난 것은 이번이 처음입니다. 악성앱 개발자들이 구글의 앱 베팅 시스템인 Google Bouncer를 통과할 수 있도록 악성 앱을 패킹하는 새로운 방법을 찾아낸 것으로 보입니다. 

이 악성앱의 특징은 텍스트 이미지 인식 서비스인 antigate.com의 캡챠 인증 시스템을 우회할 수 있다는 점 입니다. 또한 유료 서비스 및 수신한 SMS 메시지 릴레이와 관련한 설정 세팅을 내려받기 위해 C&C 인프라를 이용합니다. 공격 과정은 아래와 같습니다. 

C&C 서버에서 받은 타겟 웹사이트 로딩 이미지 내 텍스트 인식을 위해 캡챠 이미지 추출 타겟 웹사이트의 캡차 코드 로딩 코드 또는 활성화 링크를 위한 SMS 코드 파싱 활성화 링크 로딩 확인 SMS 전송 SMS 코드를 이용하여 웹사이트 로딩

<일반적인 서비스 가입 절차>

또한 개발자들은 멀웨어의 분석을 어렵게 하기 위해 난독화 툴을 사용하여 클래스, 함수, C&C 서버를 숨겼습니다. 구글 플레이에 등록되어 있는 7개의 악성앱을 분석한 결과, 랜덤하게 생성된 C&C 서버명을 발견할 수 있었습니다. 

<악성앱이 연결하는 C&C 서버 리스트>

구글 플레이에 등록된 두개의 악성앱은 각각 100,000, 500,000 누적 다운로드 수를 기록하였습니다. 

구글플레이에서 발견된 악성앱 및 MD5는 아래와 같습니다. 

irontubegames.tower3d

Version: 8 1.0.8 – MD5: c8455e21d9768d5976fdfe867605a8de

likegaming.rd

Version: 3 1.3 – MD5: e3b1ecb491ecf424358ead583b21d8f6

Version: 5 1.5 392d9472352a1af31acde7cbb26c854e

likegaming.gtascs

Version:  1 1.0 – MD5: 14cdf116704af262174eb0678fd1b368

likegaming.rcdtwo

Version: 4 1.3 – MD5: 869624aeef3a9c848ed4e657dc852fff

Version: 7 1.6 – MD5: 39b84a45e82d547dc967d282d7a7cd1e

Version: 5 1.4 – MD5: 3692d7b6e121d36106f808622cdd52e7

likegaming.rcd

Version: 10 1.8 – MD5: 0460d0a51dcf3e4b16c2303d5c36e0ee

Version:  6 1.4 – MD5: 569c4a7a0309477c7b17fb549b4a956a

Version:  7 1.5 – MD5: f6c0409fffa4a8f5ca6b4f444bae297c

Version:  8 1.6 – MD5: df32f9d5ff0572a8f40d8d9edadb1968

Version:  9 1.7 – MD5: 61f0c2e4eaa49dd49c43f2caef83b1bf

likegaming.ror

Version:  9 1.6.0.3 MD5: 7238fc5f14bdee958c7b41b13d6f3ca8

Version: 10 1.6.0.4 MD5: 69820ddcab4fe0c6ff6a77865abf30b9

uberspot.a2048mk

Version: 19 1.96 – MD5: 72ba0eef80e7abe28ff8ab40ffb301d2

현재 알약 안드로이드 에서는 해당 악성앱들에 대하여 Trojan.Android.Generic.Likegame로 탐지하고 있습니다.

참고 : 

http://www.hotforsecurity.com/blog/sophisticated-capcha-bypassing-malware-found-in-google-play-according-to-bitdefender-researchers-12616.html

* 해당 블로그 포스트는hotforsecurity로 부터 공식적으로 인용 허가를 받았습니다.