상세 컨텐츠

본문 제목

안드로이드 기기를 지배하는 Ghost Push 발견... 버전 6.0만 안전해

국내외 보안동향

by 알약(Alyac) 2016. 10. 19. 14:24

본문

안드로이드 기기를 지배하는 Ghost Push 발견... 버전 6.0만 안전해

Ghost Push possesses Android devices; only version 6.0 is safe


Cheetah Mobile의 연구원들이 지난 2015년 8월 발견된 Ghost Push 트로이목마의 최신 버전을 발견했습니다. 이는 안드로이드 롤리팝 또는 이전 버전을 사용하는 거의 모든 안드로이드 기기를 루팅할 수 있어 각별한 주의가 필요합니다. 


구글의 가장 최근 플랫폼 통계(9월 5일)에 따르면, 안드로이드 사용자의 18.7%만이 안드로이드 6.0(마시멜로우) 또는 그 이상 버전을 사용하고 있었습니다. 이 위협에 노출된 잠재적 피해자들이 상당하다는 의미입니다.


최근 Cheetah Mobile이 모바일 기기를 스캐닝한 데이터를 분석한 결과, 악성 링크를 통해 기기들로 배포되는 가장 흔한 악성코드는 모두 Ghost Push 인 것으로 밝혀졌습니다. 그 중에는 다양한 광고, 앱, 웹 페이지를 홍보하면서, 기기를 은밀히 루팅시켜 사용자들이 돈을 지불하거나 추가로 악성코드를 다운로드하도록 속이는 악성 프로그램인 Wireless Optimizer도 포함되어 있었습니다.


해당 트로이목마는 사용자에게 광고를 푸시하고 앱을 배포해 지속적으로 수익을 낼 수 있습니다. 또한 기기의 모델 정보를 업로드하고, 이 모델을 위한 ELF(Executable Linkable Format) 파일을 얻어내는 방법으로 감염된 스마트폰을 루팅할 수 있습니다.


특히, 이 트로이목마는 탐지를 피하기 위해 기기에 선탑재된 앱으로 위장할 수 있도록 핵심 코드를 시스템 디렉토리에 숨기는 것으로 나타났습니다. 더불어 추가적인 보호책으로, 다른 써드파티에서 루트 권한을 가져가는 것을 막고 있습니다.


Cheetah 모바일은 사용자에게 배포된 대부분의 악성 링크가 단축된 링크 또는 광고 링크인 것으로 보인다고 밝혔습니다. 해당 트로이목마는 말레이시아(14%), 베트남(13%), 콜롬비아(10%) 순으로 높은 감염율을 보였으며, 미국은 2%를 기록했습니다.


안드로이드 사용자들은 기기 OS를 버전 6.0으로 업그레이드하여 해당 위협에서 벗어날 수 있습니다. 그러나 현재, 대부분 사용자들이 롤리팝(35%) 또는 이전 버전을 사용하고 있습니다.







출처 :

http://www.scmagazine.com/ghost-push-possesses-android-devices-only-version-60-is-safe/article/560464/

http://www.cmcm.com/blog/en/security/2016-10-14/1031.html

관련글 더보기

댓글 영역