상세 컨텐츠

본문 제목

가짜 구글 업데이트로 데이터 탈취 안드로이드 악성코드 유포

국내외 보안동향

by 알약(Alyac) 2016. 5. 10. 13:40

본문

가짜 구글 업데이트로 데이터 탈취 안드로이드 악성코드 유포

PHONY GOOGLE UPDATE SPREADS DATA-STEALING ANDROID MALWARE


안드로이드 사용자들은 사용자 기기에 악성코드를 다운로드시키는 가짜 구글 업데이트를 주의해야 합니다. 최근 해커들은 도메인을 불법 점유하여 정상 구글 업데이트를 사칭하고 있습니다. 


Zscaler 연구진들에 따르면, 해커들이 URL 모니터링 및 기기내 보안 소프트웨어를 우회하기 위해 해당 방법을 사용하고 있다고 밝혔습니다. 해당 URL들은 매우 단기간에만 활성 상태로 존재하며, 효과적으로 URL 기반 필터링을 우회하기 위해 정기적으로 악성코드를 유포시키는 새로운 URL로 교체된다고 말했습니다. 


해당 악성코드가 기기에 다운로드 되면 원격 사이트에 접속합니다. 또한 모바일 내 안티바이러스를 검색하여 무력화 시키려고 시도합니다. 


악성코드 파일 명은 Update_chrome.apk로 설치되면 사용자에게 관리자 권한을 요청합니다. 그 후 기기를 C&C 서버에 등록해 특히 통화 및 SMS 데이터를 수집하는 등 기기 행위를 모니터링하기 시작합니다.


Zscaler는 또한 감염 피해자가 해당 구글 플레이 앱을 설치했을 경우, 악성코드가 가짜 지불 페이지를 띄워 신용카드 번호 탈취를 시도해 이를 러시아 전화번호로 전송시킨다고 덧붙혔습니다. 그러나 가짜 지불 화면이 테스트 기기에서 충돌한 것으로 보아 코딩에 버그가 있을 것이라고 말했습니다.


한번 설치되면 사용자가 관리자 권한을 비활성화시킬 수 없기 때문에 이 정보 탈취 악성코드는 기기에서 삭제될 수 없습니다. 


해당 악성앱을 삭제하는 유일한 방법은 공장 초기화로, 이는 더 많은 사용자 데이터를 유실시킬 수도 있습니다.


구글에 따르면 OS보안 강화로 잠재적인 악성 앱을 검사하고 있으며, 0.15%의 기기가 구글 플레이에서, 0.5%가 써드파티 앱 스토어에서 다운로드 받은 잠재적인 악성 앱으로 감염된다고 하였습니다. 


출처 :

https://threatpost.com/phony-google-update-spreads-data-stealing-android-malware/117742/

관련글 더보기

댓글 영역