상세 컨텐츠

본문 제목

‘Gooligan’ 안드로이드 악성코드, 구글 계정 1백만 개 이상 해킹해

국내외 보안동향

by 알약(Alyac) 2016. 12. 1. 15:09

본문

‘Gooligan’ 안드로이드 악성코드, 구글 계정 1백만 개 이상 해킹해

Over 1 Million Google Accounts Hacked by 'Gooligan' Android Malware



안드로이드 스마트폰을 사용하고 있는 분들은 주의하셔야 겠습니다. 새로운 안드로이드 악성코드가 이미 1백만 개 이상의 구글 계정을 해킹하고, 매일 13,000대 가량의 기기들을 감염시키고 있는 것으로 나타났습니다.


Gooligan 악성코드는 취약한 안드로이드 기기들을 루팅해, 해당 기기에 저장된 이메일 주소 및 인증 토큰을 탈취합니다. 공격자가 이러한 정보를 손에 넣으면 사용자의 구글 계정을 하이잭하여 Gmail, 구글 포토, 구글 독스, 구글 플레이, 구글 드라이브, G Suite 등의 민감 정보에 접근할 수 있게 됩니다.


관련 보안 전문가들은 써드파티 앱 스토어에서 정식 앱으로 보이는 안드로이드 앱 다수에서 Gooligan 코드의 흔적을 발견했습니다. 사용자가 이를 다운로드 및 설치할 경우, 악성코드는 사용자 기기 정보 및 훔친 데이터를 C&C 서버로 전송할 것입니다.


전문가들은 “Gooligan은 잘 알려진 VROOT (CVE-2013-6282)와 Towelroot (CVE-2014-3153)를 포함한 안드로이드 4, 5 버전의 익스플로잇 다수를 악용하는 루트킷을 C&C 서버로부터 다운로드한다.”, “성공적으로 기기를 루팅하면 공격자가 해당 기기를 완전히 제어할 수 있게 된다. 이후 원격으로 높은 권한의 명령어들을 실행할 수 있다.”고 밝혔습니다.


해당 악성코드를 발견한 Check Point의 연구원들은 4.x(젤리빈, 킷캣) 및 5.x (롤리팝)을 포함한 안드로이드 OS의 구버전 사용자들이 더욱 위험하다고 밝혔습니다. 이는 전체 안드로이드 기기의 약 74%를 차지하고 있습니다.


그들은 “안드로이드 버전 일부에는 이 취약점의 패치가 제공되지 않거나, 사용자가 패치를 설치하지 않을 가능성이 있다. 이 익스플로잇들은 여전히 많은 기기들을 감염시키고 있다.”고 덧붙였습니다.


Gooligan은 안드로이드 기기를 해킹한 후, 부정한 방법으로 구글 플레이 스토어의 앱들을 구매 및 설치합니다. 또한 이를 평가하고 리뷰를 남겨 범죄자들을 위한 수익을 발생시킵니다. 수익을 발생시키기 위한 애드웨어도 설치하는 것으로 나타났습니다.



내 구글 계정이 해킹되었는지 여부를 확인하는 방법


Check Point는 안드로이드 기기의 Gooligan 악성코드 감염 여부를 확인할 수 있는 온라인 툴을 공개했습니다. ‘Gooligan Checker’를 열고 구글 이메일 주소를 입력하면 이를 확인할 수 있습니다.


구글의 안드로이드 보안 디렉터 Adrian Ludwig은 해당 악성코드에 감염이 되었다면, 감염된 안드로이드 기기에 클린 설치를 실행하는 것을 권고했습니다.


현재 알약 안드로이드는 해당 악성코드를 Misc.Android.Riskware.Gooligan로 탐지하고 있습니다.







출처 :

http://thehackernews.com/2016/11/hack-google-account.html

http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/

관련글 더보기

댓글 영역