[보안뉴스 한세희 기자] 마이크로소프트의 앱 개발 도구를 악용한 안드로이드 말웨어 배포 공격이 포착됐다.
맥아피는 마이크로소프트(MS) ‘.NET MAUI’를 사용해 보안 솔루션의 탐지를 피하는 악성 안드로이드 앱을 만들어 배포하는 공격을 발견했다고 밝혔다.
.NET MAUI는 개발한 앱을 안드로이드와 iOS 등 여러 플랫폼에 맞게 자동으로 변환해주는 C# 기반 도구이다. MS는 같은 기능의 ‘자마린’이란 도구를 제공헀으며, 지난해 자마린 지원을 종료하고 모바일뿐 아니라 윈도우와 맥도 지원 가능한 .NET MAUI로 대체했다.
해커들은 .NET MAUI로 안드로이드 앱을 개발하면서 공격 기능을 일반적인 DEX 파일이 아니라 C# 블롭 바이너리에 숨겼다. 보통 안티 바이러스 솔루션은 DEX나 네이티브 라이브러리 분석에 집중하므로, 이 말웨어는 탐지를 피할 수 있었다.
다단계 동적 로딩을 활용, DEX 파일의 암호화와 로딩을 별도의 3개 단계로 분리해 악성 코드 설치를 알아채지 못하게 하는 기법도 활용했다. 또 AndroidManifest.xml 파일에 지나치게 많은 허용 권한을 집어넣어 분석을 방해했다.
▲.NET MAUI를 악용해 만든 가짜 데이팅 앱 [자료: 맥아피]
이들은 이런 방식으로 가짜 금융 앱이나 데이팅 앱을 여러 개 만들어 배포하고, 말웨어를 통해 확보한 데이터를 자신들의 서버로 전송하게 했다. 연락처와 문자, 사진 등을 빼냈다. 주로 중국이나 인도 지역이 공격 대상이었다.
.NET MAUI를 통한 공격은 오래 동안 감지되지 않을 가능성이 커 지속적으로 증가할 전망이라고 맥아피는 밝혔다. 비공식 앱스토어 사용을 피하고, 보안 소프트웨어를 사용해 피해를 예방할 것이 권장된다.
[한세희 기자(boan@boannews.com)]
맥아피는 마이크로소프트(MS) ‘.NET MAUI’를 사용해 보안 솔루션의 탐지를 피하는 악성 안드로이드 앱을 만들어 배포하는 공격을 발견했다고 밝혔다.
.NET MAUI는 개발한 앱을 안드로이드와 iOS 등 여러 플랫폼에 맞게 자동으로 변환해주는 C# 기반 도구이다. MS는 같은 기능의 ‘자마린’이란 도구를 제공헀으며, 지난해 자마린 지원을 종료하고 모바일뿐 아니라 윈도우와 맥도 지원 가능한 .NET MAUI로 대체했다.
해커들은 .NET MAUI로 안드로이드 앱을 개발하면서 공격 기능을 일반적인 DEX 파일이 아니라 C# 블롭 바이너리에 숨겼다. 보통 안티 바이러스 솔루션은 DEX나 네이티브 라이브러리 분석에 집중하므로, 이 말웨어는 탐지를 피할 수 있었다.
다단계 동적 로딩을 활용, DEX 파일의 암호화와 로딩을 별도의 3개 단계로 분리해 악성 코드 설치를 알아채지 못하게 하는 기법도 활용했다. 또 AndroidManifest.xml 파일에 지나치게 많은 허용 권한을 집어넣어 분석을 방해했다.
▲.NET MAUI를 악용해 만든 가짜 데이팅 앱 [자료: 맥아피]
이들은 이런 방식으로 가짜 금융 앱이나 데이팅 앱을 여러 개 만들어 배포하고, 말웨어를 통해 확보한 데이터를 자신들의 서버로 전송하게 했다. 연락처와 문자, 사진 등을 빼냈다. 주로 중국이나 인도 지역이 공격 대상이었다.
.NET MAUI를 통한 공격은 오래 동안 감지되지 않을 가능성이 커 지속적으로 증가할 전망이라고 맥아피는 밝혔다. 비공식 앱스토어 사용을 피하고, 보안 소프트웨어를 사용해 피해를 예방할 것이 권장된다.
[한세희 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png){kind=spacer}
.jpeg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
