DressCode 안드로이드 악성코드, 구글 플레이 스토어 앱 40개에서 발견

DressCode 안드로이드 악성코드, 구글 플레이 스토어 앱 40개에서 발견

DressCode Android Malware Found in over 40 Google Play Store Apps

새로운 안드로이드 악성코드 패밀리인 DressCode가 기업 네트워크 내부 공격을 위한 프록시로 사용될 수 있으며, 방화벽으로 보호된 서버들로부터 정보를 훔칠 수 있는 것으로 밝혀졌습니다. 이 악성코드는 옷입히기 게임앱에 숨어있는 특징때문에 DressCode라 명명되었습니다. 

해당 악성코드를 발견한 CheckPoint는 구글 플레이 스토어에서 DressCode에 감염된 앱 40개를 발견했습니다.

DressCode에 감염된 앱들은 지난 2016년 4월부터 구글 플레이 스토어에 잠입하기 시작했습니다. 그러나 Checkpoint의 제보로 현재는 구글이 이를 제거한 상태입니다.

구글 플레이 통계에 따르면 DressCode에 감염된 앱을 통해 500,000 ~ 2,000,000명의 사용자가 감염되었으며, 이 중 가장 인기있는 앱은 100,000~500,000회의 다운로드 수를 기록한 것으로 나타났습니다.

DressCode는 감염된 장비들을 하이잭하고 봇넷에 연결시키는 악성 기능도 포함하고 있습니다. 이 악성코드는 봇넷의 C&C 서버와 지속적으로 통신하는 특징을 갖고 있습니다. 봇넷 제작자가 악성 행위을 하도록 지시를 내리면, 목표 기기에 핑을 보내거나 실행할 악성코드를 전송합니다.

악성코드와 C&C 서버 사이의 통신은 감염된 기기에 설정된 SOCKS 프록시를 통해 이루어집니다. 이 프록시는 심지어 봇넷 운영자들이 방화벽으로 보호된 네트워크나 기업 인프라의 깊은 곳까지 접근할 수 있도록 허용합니다. 임직원의 감염된 장치를 통해 통신 경로 침입자가 허용되면, 공격자는 장치가 속하는 내부 네트워크에 접근할 수 있습니다. 공격자들은 네트워크에서 그들이 훔칠 수 있는 중요 정보를 스캔하거나, 그들의 권한을 상승시키는 악성 명령어를 감염된 기기에 전송할 수 있습니다.

그러나 이는 최악의 시나리오입니다. DressCode의 운영자들은 대부분 감염된 기기에 광고를 표시하고 클릭하도록 해 광고 수익을 올리는데 사용하고 있는 것으로 나타났습니다.

현재 알약 안드로이드는 해당 악성앱에 대해 Misc.Android.Riskware.DressCode로 탐지하고 있습니다.

구글 플레이에서 발견된 패키지 명:

• com.dark.kazy.goddess.lp

• com.whispering.kazy.spirits.pih

• com.shelter.kazy.ghost.jkv

• com.forsaken.kazy.game.house

• com.dress.up.Musa.Winx.Stella.Tecna.Bloom.Flora

• com.dress.up.princess.Apple.White.Raven.Queen.Ashlynn.Ella.Ever.After.High

• com.monster.high.Dracubecca.freaky.Fusion.draculaura

• com.dress.up.Cerise.Hood.Raven.Queen.Apple.White.Ever.After.Monster.High

• com.ever.after.high.Swan.Duchess.barbie.game

• com.cute.dressup.anime.waitress

• com.rapunzel.naughty.or.nice

• guide.slither.skins

• clash.royale.guide

• guide.lenses.snapchat

• com.minecraft.skins.superhero

• com.catalogstalkerskinforminecraft_.ncyc

• com.applike.robotsskinsforminecraft

• com.temalebedew.modgtavformcpe

• com.manasoft.skinsforminecraftunique

• com.romanseverny.militaryskinsforminecraft

• com.temalebedew.animalskinsforminecraft

• com.temalebedew.skinsoncartoonsforminecraft

• com.str.carmodsforminecraft

• com.hairstyles.stepbystep.yyhb

• com.str.mapsfnafforminecraft

• com.weave.braids.steps.txkw

• mech.mod.mcpe

• com.applike.animeskinsforminecraftjcxw

• com.str.furnituremodforminecraft

• com.vladgamerapp.skin.editor.for_.minecraft

• ru.sgejko.horror.mv

• com.vladgamerapp.skins.for_.minecraft.girls

• com.zaharzorkin.cleomodsforgtasailht

• com.temalebedew.ponyskins

• com.my.first.date.stories

• com.gta.mod.minecraft.raccoon

• com.applike.hotskinsforminecraft

• com.applike.serversforminecraftpe

• com.zaharzorkin.pistonsmod

• wiki.clash.guide

• mobile.strike.guide

• prank.calling.app

• sonic.dash.guide

출처 :

http://news.softpedia.com/news/dresscode-android-malware-discovered-on-official-google-play-store-507829.shtml

http://blog.checkpoint.com/2016/08/31/dresscode-android-malware-discovered-on-google-play/