구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해
최근 공식 구글플레이 마켓에 등록된 132개 앱들이 사용자들에게 윈도우 악성코드 감염을 시도하는것이 확인되었습니다. 7명의 개발자가 만든 이 앱들은 로컬 HTML 페이지에 악성 도메인으로 연결시키는 작은 iframe을 숨겨놓았습니다. 하지만 이 두 조합은 실제로 공존할 수 없습니다.
보안 연구원들에 따르면, 이번 경우 개발자는 사실상 무죄이거나 혹은 비난을 받을 수 없습니다. 이러한 상황은 앱 개발자의 개발 플랫폼이 HTML 페이지를 탐색 후 발견하는 HTML 페이지의 마지막에 악성 컨텐츠를 주입하는 악성코드에 감염되었을 것이라고 추측하였습니다.
이번 내용은 구글에 제보되었으며, 이후 구글플레이에서 해당 앱들은 제거되었습니다. 이 앱들은 과자, 원예, 커피 테이블 등에 관한 디자인 아이디어 앱들이 포함되어 있었으며, 이 중 가장 인기있는 앱은 10,000회 정도의 누적 다운로드 수를 기록하고 있었습니다.
모든 앱들에는 정적 HTML 페이지를 표시하기 위해 안드로이드 WebView를 사용했다는 한 가지 공통점이 있었습니다. 이 페이지들은 로컬에 저장 된 사진을 불러오는 것 이외에는 아무런 것도 수행하지 않았으나, 코드를 더욱 자세히 들여다 보면 악성 도메인으로 연결 된 iFrame이 숨겨져 있는 것을 알 수 있습니다.
감염된 페이지들 중 하나는 마이크로소프트 윈도우용 실행파일을 다운로드 후 설치하려고 시도했지만, 안드로이드 플랫폼에서 다운로드 되었기 때문에 실제로 실행 되지는 않았습니다.
개발자가 피해자인 것으로 추정되어
연구원들은 많은 감염 된 앱들의 개발자들이 모두 인도네시아 주변에 있다는 사실에도 주목하였습니다.
“HTML 파일이 악성 iFrame에 감염되는 가장 흔한 방법들 중 하나는 Ramnit과 같은 바이러스를 통하는 것이다. 윈도우 호스트를 감염시킨 후, 이러한 바이러스들은 HTML 파일을 검색하기 위해 하드 드라이브를 탐색하며, 각 문서에 iFrame을 추가한다. 하지만, 모든 개발자들이 인도네시아에 있는 것으로 추측 되기 때문에, 그들이 동일한 호스팅 웹사이트나 동일한 감염 된 온라인 앱 생성 플랫폼에서 감염 된 [통합 개발자 환경]을 다운로드 했을 가능성이 있다.”
연구원들은 분석글의 마지막에 개발자들을 '피해자'라고 표현했습니다.
하지만 다행히도 이 악성앱들에 대한 실제 피해자들은 존재하지 않습니다. 감염 된 앱은 안드로이드 사용자들에게는 피해를 주지 않기 때문입니다.
참고 :
PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격 (0) | 2017.03.06 |
---|---|
RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼 (1) | 2017.03.03 |
SHA-1, 더이상 안전하지 않아 (0) | 2017.02.27 |
CloudFlare를 사용하는 수 백만 사이트들에서 중요 정보를 유출하는 심각한 버그 발견 (0) | 2017.02.27 |
11년 된 리눅스 커널 로컬 권한 상승 취약점 발견 (0) | 2017.02.24 |
댓글 영역