상세 컨텐츠

본문 제목

구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해

국내외 보안동향

by 알약(Alyac) 2017. 3. 2. 15:28

본문

구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해

Over 130 Google Play Apps Tried to Infect Users with Windows Malware


최근 공식 구글플레이 마켓에 등록된 132개 앱들이 사용자들에게 윈도우 악성코드 감염을 시도하는것이 확인되었습니다. 7명의 개발자가 만든 이 앱들은 로컬 HTML 페이지에 악성 도메인으로 연결시키는 작은 iframe을 숨겨놓았습니다. 하지만 이 두 조합은 실제로 공존할 수 없습니다. 


보안 연구원들에 따르면, 이번 경우 개발자는 사실상 무죄이거나 혹은 비난을 받을 수 없습니다. 이러한 상황은 앱 개발자의 개발 플랫폼이 HTML 페이지를 탐색 후 발견하는 HTML 페이지의 마지막에 악성 컨텐츠를 주입하는 악성코드에 감염되었을 것이라고 추측하였습니다. 


이번 내용은 구글에 제보되었으며, 이후 구글플레이에서 해당 앱들은 제거되었습니다. 이 앱들은 과자, 원예, 커피 테이블 등에 관한 디자인 아이디어 앱들이 포함되어 있었으며, 이 중 가장 인기있는 앱은 10,000회 정도의 누적 다운로드 수를 기록하고 있었습니다. 


모든 앱들에는 정적 HTML 페이지를 표시하기 위해 안드로이드 WebView를 사용했다는 한 가지 공통점이 있었습니다. 이 페이지들은 로컬에 저장 된 사진을 불러오는 것 이외에는 아무런 것도 수행하지 않았으나, 코드를 더욱 자세히 들여다 보면 악성 도메인으로 연결 된 iFrame이 숨겨져 있는 것을 알 수 있습니다.


감염된 페이지들 중 하나는 마이크로소프트 윈도우용 실행파일을 다운로드 후 설치하려고 시도했지만, 안드로이드 플랫폼에서 다운로드 되었기 때문에 실제로 실행 되지는 않았습니다.


개발자가 피해자인 것으로 추정되어


연구원들은 많은 감염 된 앱들의 개발자들이 모두 인도네시아 주변에 있다는 사실에도 주목하였습니다. 


“HTML 파일이 악성 iFrame에 감염되는 가장 흔한 방법들 중 하나는 Ramnit과 같은 바이러스를 통하는 것이다. 윈도우 호스트를 감염시킨 후, 이러한 바이러스들은 HTML 파일을 검색하기 위해 하드 드라이브를 탐색하며, 각 문서에 iFrame을 추가한다. 하지만, 모든 개발자들이 인도네시아에 있는 것으로 추측 되기 때문에, 그들이 동일한 호스팅 웹사이트나 동일한 감염 된 온라인 앱 생성 플랫폼에서 감염 된 [통합 개발자 환경]을 다운로드 했을 가능성이 있다.”


연구원들은 분석글의 마지막에 개발자들을 '피해자'라고 표현했습니다.

하지만 다행히도 이 악성앱들에 대한 실제 피해자들은 존재하지 않습니다. 감염 된 앱은 안드로이드 사용자들에게는 피해를 주지 않기 때문입니다.





참고 : 

http://news.softpedia.com/news/over-130-google-play-apps-tried-to-infect-users-with-windows-malware-513457.shtml

http://researchcenter.paloaltonetworks.com/2017/03/unit42-google-play-apps-infected-malicious-iframes/



관련글 더보기

댓글 영역