안드로이드 기기 900만대 이상, 정보 탈취 트로이목마에 감염돼

Over nine million Android devices infected by info-stealing trojan

 

Huawei AppGallery에서 발생한 대규모 악성코드 캠페인으로 인해 다른 앱 190개 이상으로 가장한 안드로이드 트로이목마가 약 9,300,000회 설치된 것으로 나타났습니다.

 

Dr.Web이 'Android.Cynos.7.origin'으로 탐지하는 이 트로이목마는 Cynos 악성코드의 수정된 버전으로 민감 사용자 데이터를 수집하도록 설계되었습니다.

 

Dr. Web AV의 연구원은 Huawei AppGallery에서 이 트로이목마를 발견해 Huawei 측에 신고하고 해당 앱을 제거하는 작업을 도왔습니다.

 

하지만, 이미 기기에 앱을 설치한 사용자는 안드로이드 기기에서 앱을 수동으로 앱을 제거해야 합니다.

 

게임 앱으로 위장한 트로이 목마

 

공격자는 러시아어, 중국어, 영어 사용자용 시뮬레이터, 플랫포머, 아케이드, RTS 전략, 슈팅게임으로 위장한 안드로이드 앱의 내부에 악성 코드를 숨겼습니다.

 

모두 사전에 홍보된 기능을 제공했기 때문에, 사용자가 게임을 즐겼다면 해당 앱을 제거하지 않았을 것으로 보입니다.

 

Cynos 악성코드가 포함된 앱 목록은 엄청나게 길지만, 그 중 주목할 만한 앱 목록은 아래와 같습니다.

 

快点躲起来 (Hurry up and hide) – 2,000,000

Cat adventures – 427,000

Drive school simulator – 142,000

 

 

<이미지 출처 : https://news.drweb.com/show/?i=14360&lng=en>

<트로이목마화된 앱 중 하나>

 

 

설치된 앱 목록을 전체 악성 앱 190개와 비교하는 것은 거의 불가능하므로, Cynos 트로이 목마를 포함한 변종을 탐지할 수 있는 안티바이러스 툴을 사용하는 것이 좋습니다.

 

강력한 악성코드

 

이 Cynos 트로이목마 변종은 SMS 문자를 스파잉하고, 다른 페이로드를 다운로드 및 설치하는 등 다양한 악성 활동을 수행할 수 있습니다.

 

"Android.Cynos.7.origin의 일부 버전은 매우 공격적인 기능을 포함하고 있습니다. 이들은 유료 SMS 메시지를 보내고, 수신 SMS를 가로채고, 추가 모듈을 다운로드 및 실행하고, 다른 앱을 다운로드 및 설치합니다."

 

"저희 악성코드 분석가가 발견한 버전의 주요 기능은 사용자 및 기기에 대한 정보를 수집하고 광고를 표시하는 것입니다."

 

트로이 목마의 공격적인 특성은 전화걸기, 사용자 위치 감지 등 일반적으로 게임과 관련이 없는 권한을 요청할 때 눈치챌 수 있습니다.

 

 

<이미지 출처 : https://news.drweb.com/show/?i=14360&lng=en>

<레이스 게임의 위험한 권한 요청>

 

 

사용자가 권한 요청을 허용할 경우 악성코드는 아래 데이터를 원격 서버로 유출할 수 있습니다.

 

- 사용자의 휴대폰 번호

- GPS 좌표 또는 모바일 네트워크, Wi-Fi AP 데이터를 기반으로 한 기기의 위치

- 네트워크 코드 및 모바일 국가 코드 등 다양한 모바일 네트워크 파라미터, GSM 셀 ID 및 국제 GSM 위치 지역 코드

- 기기의 다양한 기술적 사양

- 트로이목마화된 앱 메타데이터의 다양한 파라미터

 

이외에도 Cynos 트로이 목마는 추가 모듈이나 앱을 다운로드 및 설치하고, 유료 SMS를 보내고, 수신 SMS를 가로채는 기능 또한 포함하고 있습니다.

 

따라서 이러한 앱으로 인해 유료 서비스에 가입하게 되어 예상치 못한 요금이 부과될 수 있으며, 이들은 더욱 은밀한 스파이웨어 페이로드를 드롭할 수도 있습니다.

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/over-nine-million-android-devices-infected-by-info-stealing-trojan/

https://news.drweb.com/show/?i=14360&lng=en

https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Cynos/README.adoc (IOC)