포스팅 내용

국내외 보안동향

어떤 안드로이드 앱이든 몰래 설치할 수 있는 멀웨어

어떤 안드로이드 앱이든 몰래 설치할 수 있는 멀웨어

This Malware Can Secretly Auto-Install any Android App to Your Phone


최근, OS의 접근성 기능을 악용하여 안드로이드 디바이스에 어떠한 안드로이드 앱도 자동으로 설치할 수 있는 트로이목마 애드웨어 패밀리가 발견되었습니다. 


이번에 발견된 애드웨어 패밀리는 아래와 같습니다. 


Shedun (GhostPush)

Kemoge (ShiftyBug)

Shuanet


위 3개 애드웨어 패밀리는 모두 삭제를 방지하고 공격자가 디바이스에 제한없이 접근할 수 있도록 하기 위하여 안드로이드의 root를 감염시킵니다. 

하지만 이 중, shedun 애드웨어 패밀리는 다른 애드웨어 패밀리보다 더 강력한 능력을 가진 것으로 보인다고 하였습니다. 



어떠한 취약점도 악용하지 않는 멀웨


이 멀웨어는 안드로이드 디바이스를 하이잭 할 때 서비스의 결함을 악용하지 않는 대신 서비스의 정식 기능만을 사용합니다. 

shedun 애드웨어 패밀리가 설치 될 때, Android Accessibility Service의 접근 권한을 허용하도록 사용자를 속입니다. 이 기능은 사용자가 스마트폰 기기와 상호작용하는 또 다른 방식을 제공해 주는 기능입니다. 


shedun은 Accessibility Service에 대한 접근권한을 얻음으로써 아래의 행동을 할 수 있습니다. 


폰 스크린에 표시 되는 텍스트 읽기

앱 설치를 묻는 프롬프트 창에 대한 결정

권한 리스트 스크롤링

유저의 어떠한 물리적 상호작용 없이 ‘설치’버튼 누르기


아래의 영상에서 앱이 강제로 설치되는 영상을 확인하실 수 있습니다. 

https://www.youtube.com/watch?v=VDWmEUm6mQM


이 트로이목마 앱은 구글 플레이 스토어에 공식적으로 등록 되어 있는 정상 앱들로 위장하여 써드파티 마켓에서 배포됩니다. 

또한 여기서 주의해야할 점은 shedun 앱들은 쉽게 언인스톨이 되지 않으며, 사용자의 기기를 루팅시킨 다음 시스템 파티션에 자신을 설치하기 때문에, 공장 초기화 후에도 삭제되지 않고 남아있게 됩니다. 


써드파티 앱을 설치하고 공격적인 광고를 제공하기 떄문에, Lookout은 이 멀웨어를 '트로이목마 애드웨어(Trojanized Adware)'라 분류했습니다. 


현재 알약 안드로이드에서는 해당 악성코드에 대하여 Misc.Android.Shedun으로 탐지중에 있습니다.



출처:

http://thehackernews.com/2015/11/android-malware-auto-install.html

https://blog.lookout.com/blog/2015/11/19/shedun-trojanized-adware/

  1. Rich Village 2015.11.26 23:23 신고  수정/삭제  댓글쓰기

    저 부분은 Google Android 측에서 수정을 해 줘야 할 부분인 것 같습니다. 접근성 서비스를 사용하는데 왜 저런 기능까지 사용 가능하게 오픈 해 두었는지 이해가 안 가네요...

    • 알약(Alyac) 2015.12.01 13:13 신고  수정/삭제

      Rich Village님, 안녕하세요. 답변이 늦어져서 죄송합니다. 말씀하신대로, 특정앱이 접근성 관련 서비스를 제공하기 위해서는 OS에서 해당항목에 대한 권한을 얻어야만 합니다. 다만 Shedun이 악용하는 기능을 사용하는 정상적인 앱도 있을 것으로 판단되기 때문에, Google입장에서는 접근권한을 제어하는데 어려움이 있지 않을까 추측하고 있습니다.
      알약 블로그 방문해주셔서 감사합니다. 좋은 하루 되세요!

티스토리 방명록 작성
name password homepage