고정 헤더 영역
상세 컨텐츠
본문
구글 플레이에 등록 된 앱 130개 이상, 사용자들을 윈도우 악성코드에 감염시키려 시도해
Over 130 Google Play Apps Tried to Infect Users with Windows Malware
최근 공식 구글플레이 마켓에 등록된 132개 앱들이 사용자들에게 윈도우 악성코드 감염을 시도하는것이 확인되었습니다. 7명의 개발자가 만든 이 앱들은 로컬 HTML 페이지에 악성 도메인으로 연결시키는 작은 iframe을 숨겨놓았습니다. 하지만 이 두 조합은 실제로 공존할 수 없습니다.
보안 연구원들에 따르면, 이번 경우 개발자는 사실상 무죄이거나 혹은 비난을 받을 수 없습니다. 이러한 상황은 앱 개발자의 개발 플랫폼이 HTML 페이지를 탐색 후 발견하는 HTML 페이지의 마지막에 악성 컨텐츠를 주입하는 악성코드에 감염되었을 것이라고 추측하였습니다.
이번 내용은 구글에 제보되었으며, 이후 구글플레이에서 해당 앱들은 제거되었습니다. 이 앱들은 과자, 원예, 커피 테이블 등에 관한 디자인 아이디어 앱들이 포함되어 있었으며, 이 중 가장 인기있는 앱은 10,000회 정도의 누적 다운로드 수를 기록하고 있었습니다.
모든 앱들에는 정적 HTML 페이지를 표시하기 위해 안드로이드 WebView를 사용했다는 한 가지 공통점이 있었습니다. 이 페이지들은 로컬에 저장 된 사진을 불러오는 것 이외에는 아무런 것도 수행하지 않았으나, 코드를 더욱 자세히 들여다 보면 악성 도메인으로 연결 된 iFrame이 숨겨져 있는 것을 알 수 있습니다.
감염된 페이지들 중 하나는 마이크로소프트 윈도우용 실행파일을 다운로드 후 설치하려고 시도했지만, 안드로이드 플랫폼에서 다운로드 되었기 때문에 실제로 실행 되지는 않았습니다.
개발자가 피해자인 것으로 추정되어
연구원들은 많은 감염 된 앱들의 개발자들이 모두 인도네시아 주변에 있다는 사실에도 주목하였습니다.
“HTML 파일이 악성 iFrame에 감염되는 가장 흔한 방법들 중 하나는 Ramnit과 같은 바이러스를 통하는 것이다. 윈도우 호스트를 감염시킨 후, 이러한 바이러스들은 HTML 파일을 검색하기 위해 하드 드라이브를 탐색하며, 각 문서에 iFrame을 추가한다. 하지만, 모든 개발자들이 인도네시아에 있는 것으로 추측 되기 때문에, 그들이 동일한 호스팅 웹사이트나 동일한 감염 된 온라인 앱 생성 플랫폼에서 감염 된 [통합 개발자 환경]을 다운로드 했을 가능성이 있다.”
연구원들은 분석글의 마지막에 개발자들을 '피해자'라고 표현했습니다.
하지만 다행히도 이 악성앱들에 대한 실제 피해자들은 존재하지 않습니다. 감염 된 앱은 안드로이드 사용자들에게는 피해를 주지 않기 때문입니다.
참고 :
'국내외 보안동향' 카테고리의 다른 글
| PowerShell 명령어를 실행하기 위해 DNS 쿼리를 사용하는 새로운 파일리스 공격 (0) | 2017.03.06 |
|---|---|
| RebreakCaptcha – 구글의 API를 사용해 ReCaptcha v2 우회하는 방법 발견 돼 (1) | 2017.03.03 |
| SHA-1, 더이상 안전하지 않아 (0) | 2017.02.27 |
| CloudFlare를 사용하는 수 백만 사이트들에서 중요 정보를 유출하는 심각한 버그 발견 (0) | 2017.02.27 |
| 11년 된 리눅스 커널 로컬 권한 상승 취약점 발견 (0) | 2017.02.24 |
댓글 영역