DroidJack, 백도어가 포함된 포켓몬 GO 안드로이드 앱 발견

DroidJack, 사이드로드 통해 백도어가 포함된 포켓몬 GO 안드로이드 앱 발견

DroidJack Uses Side-Load…It's Super Effective! Backdoored Pokemon GO Android App Found

포켓몬 GO는 iOS와 안드로이드 기기에서 닌텐도의 승인을 얻은 첫번째 포켓몬 게임입니다. 이 증강현실 게임은 지난 7월 4일 호주와 뉴질랜드에서 먼저 공개되었으며, 미국에는 7월 6일에 공개되었습니다. 

이를 제외한 지역의 사용자들은 정식 채널이 아닌 다른 곳에서 포켓몬 GO의 카피본을 내려받을 수 있기를 원하고 있습니다. 이러한 사용자들의 니즈때문에 수많은 언론들이 안드로이드에서 이 어플리케이션을 '사이드로딩'하는 튜토리얼을 공개했습니다. (▶ 튜토리얼 참고) 그러나 공식 앱스토어가 아닌 외부에서 다운받은 앱을 설치할 경우, 사용자들은 악성코드 등 원치않았던 것을 얻게될 수 있습니다.

Proofpoint의 연구원들은 새로 공개된 모바일 게임인 포켓몬 GO에 감염된 안드로이드 버전들을 발견했습니다. 이 APK는 DroidJack(SandroRAT이라고도 알려짐)이라는 악성 RAT을 포함하도록 수정되었으며, 이를 통해 공격자가 피해자의 폰을 제어할 수 있게 됩니다. 이 악성 샘플이 실제로 배포되는지는 확인하지 못했지만, 지난 7월 7일 악성 파일 저장 서비스에 업로드된 것을 알아냈습니다. 포켓몬 GO 게임이 뉴질랜드와 호주에서 공식적으로 공개된지 72시간도 채 안된 때였습니다.

많은 게이머들은 그들의 지역에 공식 서비스가 배포되기 전 써드파티로부터 APK를 내려받았습니다. 당시 포켓몬 GO 게임이 공식적으로 전세계에 공개된 것은 아니었고, 언론들이 앞다퉈 해당 게임을 써드파티 스토어에서 다운로드하는 방법을 안내했기 때문입니다. 일부는 아래와 같이 써드파티에서 APK를 설치하는 방법까지 설명했습니다.

“직접 APK를 설치하기 위해서는 안드로이드 기기에서 사이드로드 앱을 허용해야 한다. 설정 > 보안 > “알 수 없는 소스 허용” 체크박스를 활성화하면 된다.”

이러한 방법은 사용자 스마트폰 보안에 엄청난 위협을 가하며, 스마트폰 기기에 악성앱들이 쉽게 설치되는 것으로 이어질 수 있습니다.

만약 자신의 스마트폰에 악성 APK가 설치되었는지 우려된다면, 감염 여부를 확인할 수 있는 몇 가지 옵션이 있습니다. 첫번째로, 다운로드한 APK의 SHA256 해시를 확인합니다. 매스컴에서 자주 링크되는 정식 어플리케이션의 해시는 8bf2b0865bef06906cd854492dece202482c04ce9c5e881e02d2b6235661ab67입니다. 하지만 업데이트된 버전이 이미 공개되었을 가능성도 있습니다. Proofpoint가 분석한 악성 APK의 SHA256 해시는 15db22fd7d961f4d4bd96052024d353b3ff4bd135835d2644d94d74c925af3c4이었습니다.

또 다른 방법은 설치된 어플리케이션의 권한을 확인해 보는 것입니다. 설정 > 애플리케이션 > Pokemon GO 에서 권한 섹션으로 내려가면 확인할 수 있습니다. 아래 그림은 정식 어플리케이션에 부여된 권한들을 보여줍니다. 이 권한들은 기기의 설정에 따라 변경됩니다. 예를 들어, '구글 플레이 빌링 서비스', '인터넷으로부터 데이터 받기'와 같은 권한은 아래의 이미지에서 보이지 않지만 다른 기기의 구글 플레이 스토어에서 다운로드한 포켓몬 GO에는 이 권한들이 부여되어 있었습니다. 

 

정식 포켓몬 GO APK에 부여된 권한들

<이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app>

- 사진과 동영상 찍기

- 대략적인 위치(네트워크 기반)

정확한 위치(GPS 및 네트워크 기반)

- SD카드 저장소의 콘텐츠 수정 또는 삭제

SD카드 저장소의 콘텐츠 읽기

- 기기에서 계정 검색

기기에서 계정 사용

- 완전한 네트워크 액세스

네트워크 연결 보기

- 블루투스 설정에 액세스

블루투스 기기와 페어링

- 진동 제어

폰이 절전 모드로 전환되지 않도록 설정

아래에 빨간 박스로 표시된 권한들은 DroidJack에 의해 추가된 것입니다. 사용자가 다운받아 설치한 포켓몬 GO 앱에서 해당 권한들을 확인했다면 해당 기기가 감염되었다는 것을 의미합니다. 그러나 이 권한들은 추후 변경될 수 있습니다.

백도어가 포함된 포켓몬 GO APK의 권한

<이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app>

감염된 포켓몬 GO APK는 실행되었을 때 사용자들이 악성 어플리케이션이라는 것을 눈치채지 못하도록 만들어졌습니다. 아래 그림은 감염된 포켓몬 GO 게임의 시작 스크린샷이며, 이는 정식 앱과 동일합니다.

 

감염된 포켓몬 GO 애플리케이션 시작 화면

<이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app>

감염된 게임을 좀 더 확인해본 결과, 공격자들이 정식 게임에 추가한 3개의 클래스가 눈에 띄었습니다. 

정식 포켓몬 GO의 클래스

 <이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app>

감염된 포켓몬 GO 클래스들

<이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app> 

위 그림에서 정식 게임과 감염된 클래스를 확인할 수 있습니다. 추가된 클래스는 아래와 같습니다.

a

b

net.droidjack.server

하드코딩된 C&C 도메인과 포트

<이미지 출처 : https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app> 

이 DroidJack RAT은 TCP와 UDP 포트 1337(위 그림)을 통해 C&C 서버인 pokemon.no-ip.org 도메인과 통신하도록 설정되어있습니다. No-ip.org 서비스는 일반적으로 집이나 소규모 비즈니스 사용자들에게 부여된 동적 IP 주소를 가진 도메인 네임과 주로 사용됩니다. 그러나 공격자들이 자주 이용하는 서비스이기도 합니다. 이것을 분석하여 확인했을 때 C&C 도메인은 터키(88.233.178.130)의 IP 주소로 연결되었고, 지금은 감염된 기기의 연결을 허용하지 않고 있습니다.

 

공식적으로 승인된 앱스토어 외에 비공식적인 써드파티로부터 앱을 설치하는 것은 굉장히 위험합니다. 공식 앱스토어는 모바일 앱의 보안성을 검증하는 알고리즘이나 절차를 가지고 있지만, 미심쩍은 소스에서 사이드로딩된 앱은 사용자의 스마트폰 기기를 다양한 악성앱에 노출시킵니다. 이번에 분석한 포켓몬 GO APK의 경우, 공격자가 기기를 완전히 해킹할 수 있는 가능성이 있었습니다. 만약 감염된 기기가 기업 네트워크에 연결된다면 공유된 리소스들이 매우 위험해질 것입니다.

해당 APK가 감염된 실제 사례는 찾을 수 없었지만, 이를 통해 사이버범죄자들이 포켓몬 GO와 같은 앱의 인기를 악용해 사용자들로 하여금 악성코드를 설치하도록 교묘히 시도한다는 것을 알 수 있었습니다. 따라서 정식 앱스토어에 등록된 앱을 다운로드하는 것이 스마트폰 기기와 네트워크 해킹을 피하는 가장 좋은 방법일 것입니다.

알약 안드로이드는 현재 해당 악성앱을 Trojan.Android.AndroRAT.pokemongo로 탐지하고 있습니다.

출처 :

https://www.proofpoint.com/us/threat-insight/post/droidjack-uses-side-load-backdoored-pokemon-go-android-app