포스팅 내용

국내외 보안동향

중국해커들이 비합법적인 앱 산업사슬을 통하여 매일 수 백만불을 벌고 있다.

중국해커들이 비합법적인 앱 산업사슬을 통하여 매일 수 백만불을 벌고 있다. 

Chinese Hackers Make Millions of Profits from Underground App Distribution Chains


올해 8월, Ghost Push 악성코드가 발견되었으며, 그 후에도 지속적으로 변종이 발견되고 있습니다. 

현재까지 전 세계 116개가 넘는 국가에서 90만 여대의 안드로이드 기기를 감염시켰으며, 그 규모로 보았을 때 이 악성코드의 배후에는 거대한 산업체인이 있으며, 정교하고 복잡한 방식으로 운영되고 있을 것이라고 추측 됩니다. 또한 이 악성코드 개발자들은 이러한 불법 산업체인을 통하여 매일 최소 405만불의 폭리를 취했을 것으로 예상됩니다. 



Ghost Push 악성코드


Ghost Push 악성코드는 처음 발견된 8월부터 지금까지 지속적으로 변종이 발견되고 있습니다. 


날자 

악성코드

 발견업체

9월 18일 

Ghost Push 

CM Security 

9월 21일

Braintest 

Checkpoint

9월 22일

Guaranteed Clicks 

Fireeye 

10월 2일

RetroTetris 

Trend Micro 

10월 7일

Kemoge 

Fireeye 



이런 불법적인 산업체인은 어떻게 형성되는가?


악성코드 개발자들은 정상 앱에 악성코드나 광고 모듈을 추가하여 리패키징 하는 방법을 주로 이용합니다. 이런 앱들은 구글 및 다른 정상 앱마켓의 보안 시스템을 우회하여 인기있는 앱을 위장하여 정상 등록됩니다. 이런 방법을 이용하면 악성코드 제작자들은 자신이 개발한 악성 앱을 마치 정상적인 인기 앱인것처럼 정상 마켓에서 홍보할 수 있게 됩니다. 


사용자들은 인기 앱을 위장한 악성 앱을 다운로드 받아 설치하게 되며, 악성코드 제작자들은 짧은 시간동안 많은 사용자 수를 보유하게 됩니다. 많은 사용자 수를 보유하게 되면, 악성코드 제작자들은 모바일 마케팅 회사를 차린 후, 광고 스폰서들과 협력하여 광고를 배포하고 폭리를 취합니다. 


분석 결과, 악성코드 제작자들은 최소 4개 이상의 도메인을 사용하는 것으로 확인되었으며, 도메인 정보 분석 결과 공격자는 중국인 이라고 유추할 수 있습니다. 


 악성코드 이름

URL 

MD5 

 GhostPush

api.aedxdrcb.com

api.hdyfhpoi.com

api.wksnkys7.com

api.syllyq1n.com

ee07e4cc125d51d783322771056bc213

e197e5c72639f0015e485406ce220c63

 GhostPushⅡ

www.himobilephone.com

s.psserviceonline.com

apk.psservicedl.com

c5517f1552b5b0878601c19322453ed4

f19c121393719ff2e8533ec662b3078b

 OIMobi

www.oimobi.com

api.nooobi.com

dw.cnscns.com

429f5bf619c5b503ab810c124bb6f14d

2e3c93f3cf147a1eaf3910a99a55a2bf

 Kemoge

www.kemoge.net

ads.kemoge.net

 40b1dcbe5eca2d4cf3621059656aabb5


이 악성코드들은 현재 이미 공식 마켓들에서 삭제된 상태입니다.


이 악성코드의 변종들은 4000개가 넘으며, 주로 게임, 툴 및 SNS 앱들을 주로 대상으로 합니다.

10월 8일까지, Ghost Push는 이미 116개 이상의 국가의 90만대가 넘는 휴대폰에 영향을 주었으며, 주로 동남아 지역에 집중되어 있습니다. 이는, 동남아가 지리적으로 중국과 가까울 뿐만 아니라, 최근 많은 중국 업체들이 동남아 지역으로 진출한 영향으로 보여집니다.


이 악성코드의 변종들은 안드로이드 2.3버전부터 5.1버전까지 거의 모든 안드로이드 버전을 대상으로 하고 있습니다. 더욱 놀라운 것은 최신 버전의 롤리팝도 예외 대상이 아니라는 것입니다.



지금까지 1만대라 넘는 휴대폰 모델과 총 2742개의 브랜드가 감염된 것으로 확인되었습니다. 거의 모든 휴대폰 모델들이 공격대상이 되었는데, 시장점유율이 상대적으로 높은 삼성은 이 악성코드에 대한 타격도 컸습니다. 


해당 악성코드들은 주로 안드로이드 시스템의 취약점을 이용하여 root권한으로 자신을 상승시켜 사용자들이 삭제를 못하도록 하였습니다. 또한 제작자들은 구글 바운서 및 기타 마켓들의 보안시스템을 우회하여 정상 마켓에 등록함으로서, 더 많은 피해자들을 발생시켰습니다. 


Rootkit 

CVE Number 

FramaRoot

CVE-2013-6282 

TowelRoot 

CVE-2014-3153 

GieRoot

CVE-2014-7911

CVE-2014-4322 

PingPongRoot

CVE-2015-3636 

GhostPush 악성코드 및 변종들이 사용한 안드로이드 취약점



출처 : 

http://www.cmcm.com/blog/en/security/2015-09-18/799.html

http://blog.checkpoint.com/2015/09/21/braintest-a-new-level-of-sophistication-in-mobile-malware/

https://www.fireeye.com/blog/threat-research/2015/09/guaranteed_clicksm.html

http://blog.trendmicro.com/trendlabs-security-intelligence/two-games-released-in-google-play-can-root-android-devices/

https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html

http://www.cmcm.com/blog/en/security/2015-10-10/814.html




티스토리 방명록 작성
name password homepage