24개 앱 통해 퍼진 멀웨어...이미 47만 번 다운로드 된 상태
광고 프레임워크에 숨어 있던 악성 코드...사용자 관련 정보 훔쳐가
[보안뉴스 문가용 기자] 안드로이드의 구글 플레이 스토어에서 또 다른 스파이웨어가 발견됐다. 문자 메시지, 연락처 정보, 장비 정보를 훔쳐 다른 곳을 빼돌리는 기능을 가지고 있다. 뿐만 아니라 온라인 유료 서비스에 사용자를 등록시키는 짓도 한다고 한다.
[이미지 = iclickart]
이 멀웨어에는 배트맨에 나오는 악당인 ‘조커’라는 이름이 붙었다. 멀웨어의 C&C 도메인 이름 중 하나가 조커였기 때문이다. 지난 수주 동안 24개 앱을 통해 퍼졌으며, 총 47만 2천여 번 다운로드 된 것으로 나타났다. 구글은 문제가 되는 앱들을 삭제한 상태다.
보안 전문가 알렉세이 큐프린즈(Aleksejs Kuprins)는 조커를 분석한 글을 발표(https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451)하며 “구글 플레이에서 몰래 활동하기 위해 꽤나 영리하고 은밀한 전략을 사용하고 있다”고 설명했다. 그러면서 “광고 프레임워크에 숨어 있었으며, 악성 코드의 노출을 최소화하는 것이 특징”이라고 덧붙였다. “개발자들이 자바 코드를 필요한 곳에만 썼습니다. 그래서 은밀했죠.”
조커가 처음 발견된 건 2019년 6월의 일이다. 인앱 광고를 생성하는 데 사용되는 광고 프레임워크에 숨어 있었다. 여기에 감염된 앱을 사용자가 설치하고 실행하면, 로딩 화면에 나타난다. 그런 후 앱 로고가 나타난다. 그러는 동안 뒤에서는 악성 행위가 실행된다.
악성 행위란 DEX 포맷으로 만들어진 2단계 멀웨어를 로딩하는 것이다. 이 파일 역시 실행과 함께 또 다른 페이로드를 사용자의 시스템에 드롭시킨다. 이 때 드롭되는 페이로드는 문자 메시지, 연락처 정보, 시스템 정보 등을 탈취해 공격자에게 전송시킬 수 있는 기능을 가지고 있다.
그러는 한 편 조커는 각종 광고를 통해 홍보되는 고급 유료 서비스에 사용자를 등록시킨다. 덴마크에서는 일주일에 60~70유로 정도의 서비스에 가입된 피해자가 나타났다. “멀웨어 자체에 자동 등록 기능이 있었습니다. SMS 메시지를 탈취할 수 있는 상태이므로 서비스 제공자가 등록 과정에서 보낸 문자를 조커가 가로채서 활용할 수 있는 것이죠.”
탐지되는 것을 최소화 하기 위해 조커는 HTTP를 통해 동적 코드와 명령어들을 받은 뒤 자바스크립트에서 자바로의 콜백을 통해 실행한다. 큐프린즈는 “이런 방법을 사용할 경우 정적 분석 툴들에 탐지될 가능성이 낮아진다”고 설명한다.
멀웨어가 피해를 입힌 국가는 총 37개국인 것으로 나타났다. 호주, 오스트리아, 벨기에, 브라질, 중국, 키프로스, 이집트, 프랑스, 독일, 가나, 그리스, 혼두라스, 인도, 인도네시아, 아일랜드, 이탈리아, 쿠웨이트, 말레이시아, 미얀마, 네덜란드, 노르웨이, 폴란드, 포루투갈, 카타르, 아르헨티나, 세르비아, 싱가포르, 슬로베니아, 스페인, 스웨덴, 스위스, 태국, 터키, 우크라이나, UAE, 영국, 미국이다.
큐프린즈는 “멀웨어가 탑재되었던 앱과 피해 국가를 보건데, 공격자는 유럽연합과 아시아의 나라들을 주로 노린 것으로 보인다”고 설명한다. “물론 국가와 상관없이 어디에서든 다운로드가 가능한 앱도 포함되어 있었습니다. 일부 C&C의 인터페이스 패널과 코드 설명 일부가 중국어로 작성된 것을 발견하기도 했습니다. 중국이라면 아시아와 유럽을 노릴 만한 국가이기 때문에 배후 세력으로 의심됩니다.” 물론 여기서는 의혹이 중국 정부로까지 가기는 조금 증거가 부족하다.
한편 최근 들어 구글 플레이 스토어에서는 반복적으로 스파이웨어, 애드웨어 등 각종 멀웨어가 발견되고 있다. 지난 8월에는 한 음악 스트리밍 앱에서 피해자의 연락처, 파일, 문자 메시지를 훔쳐내는 스파이웨어가 발견되기도 했었다. 심지어 이 앱은 이전에 한 번 삭제가 된 적이 있던 것이었다. 즉 같은 멀웨어가 두 번이나 플레이 스토어에 등록된 것이다.
구글은 계속해서 앱 보안을 강화하기 위해 애쓰고 있지만 아직까지는 실효를 거두지 못하는 것으로 보인다. 큐프린즈는 “공식 스토어에서 다운로드 받아 설치한 앱이라고 하더라도, 앱이 요구하는 허용 항목을 꼼꼼하게 살펴야 한다”고 경고한다.
“안드로이드 환경에서는 어떤 앱을 설치하든 반드시 허용 항목을 확인해야 합니다. 앱의 기능과 상관이 없는 기능을 허용해달라고 하거나, 요청의 이유가 불분명할 경우에는 비슷한 기능의 다른 앱으로 미련 없이 넘어가야 합니다. 공식 스토어에 있는 앱도 분명히 의심하고 설치해야 하는 시기입니다.”
3줄 요약
1. 구글 플레이 스토어 또 뚫림.
2. 이번엔 24개 앱의 광고 프레임워크에 조커라는 스파이웨어가 숨어 있었음.
3. 사용자의 각종 정보 훔쳐감. 피해 국가는 유럽과 아시아에 몰려 있음.
[국제부 문가용 기자(globoan@boannews.com)]
광고 프레임워크에 숨어 있던 악성 코드...사용자 관련 정보 훔쳐가
[보안뉴스 문가용 기자] 안드로이드의 구글 플레이 스토어에서 또 다른 스파이웨어가 발견됐다. 문자 메시지, 연락처 정보, 장비 정보를 훔쳐 다른 곳을 빼돌리는 기능을 가지고 있다. 뿐만 아니라 온라인 유료 서비스에 사용자를 등록시키는 짓도 한다고 한다.
[이미지 = iclickart]
이 멀웨어에는 배트맨에 나오는 악당인 ‘조커’라는 이름이 붙었다. 멀웨어의 C&C 도메인 이름 중 하나가 조커였기 때문이다. 지난 수주 동안 24개 앱을 통해 퍼졌으며, 총 47만 2천여 번 다운로드 된 것으로 나타났다. 구글은 문제가 되는 앱들을 삭제한 상태다.
보안 전문가 알렉세이 큐프린즈(Aleksejs Kuprins)는 조커를 분석한 글을 발표(https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451)하며 “구글 플레이에서 몰래 활동하기 위해 꽤나 영리하고 은밀한 전략을 사용하고 있다”고 설명했다. 그러면서 “광고 프레임워크에 숨어 있었으며, 악성 코드의 노출을 최소화하는 것이 특징”이라고 덧붙였다. “개발자들이 자바 코드를 필요한 곳에만 썼습니다. 그래서 은밀했죠.”
조커가 처음 발견된 건 2019년 6월의 일이다. 인앱 광고를 생성하는 데 사용되는 광고 프레임워크에 숨어 있었다. 여기에 감염된 앱을 사용자가 설치하고 실행하면, 로딩 화면에 나타난다. 그런 후 앱 로고가 나타난다. 그러는 동안 뒤에서는 악성 행위가 실행된다.
악성 행위란 DEX 포맷으로 만들어진 2단계 멀웨어를 로딩하는 것이다. 이 파일 역시 실행과 함께 또 다른 페이로드를 사용자의 시스템에 드롭시킨다. 이 때 드롭되는 페이로드는 문자 메시지, 연락처 정보, 시스템 정보 등을 탈취해 공격자에게 전송시킬 수 있는 기능을 가지고 있다.
그러는 한 편 조커는 각종 광고를 통해 홍보되는 고급 유료 서비스에 사용자를 등록시킨다. 덴마크에서는 일주일에 60~70유로 정도의 서비스에 가입된 피해자가 나타났다. “멀웨어 자체에 자동 등록 기능이 있었습니다. SMS 메시지를 탈취할 수 있는 상태이므로 서비스 제공자가 등록 과정에서 보낸 문자를 조커가 가로채서 활용할 수 있는 것이죠.”
탐지되는 것을 최소화 하기 위해 조커는 HTTP를 통해 동적 코드와 명령어들을 받은 뒤 자바스크립트에서 자바로의 콜백을 통해 실행한다. 큐프린즈는 “이런 방법을 사용할 경우 정적 분석 툴들에 탐지될 가능성이 낮아진다”고 설명한다.
멀웨어가 피해를 입힌 국가는 총 37개국인 것으로 나타났다. 호주, 오스트리아, 벨기에, 브라질, 중국, 키프로스, 이집트, 프랑스, 독일, 가나, 그리스, 혼두라스, 인도, 인도네시아, 아일랜드, 이탈리아, 쿠웨이트, 말레이시아, 미얀마, 네덜란드, 노르웨이, 폴란드, 포루투갈, 카타르, 아르헨티나, 세르비아, 싱가포르, 슬로베니아, 스페인, 스웨덴, 스위스, 태국, 터키, 우크라이나, UAE, 영국, 미국이다.
큐프린즈는 “멀웨어가 탑재되었던 앱과 피해 국가를 보건데, 공격자는 유럽연합과 아시아의 나라들을 주로 노린 것으로 보인다”고 설명한다. “물론 국가와 상관없이 어디에서든 다운로드가 가능한 앱도 포함되어 있었습니다. 일부 C&C의 인터페이스 패널과 코드 설명 일부가 중국어로 작성된 것을 발견하기도 했습니다. 중국이라면 아시아와 유럽을 노릴 만한 국가이기 때문에 배후 세력으로 의심됩니다.” 물론 여기서는 의혹이 중국 정부로까지 가기는 조금 증거가 부족하다.
한편 최근 들어 구글 플레이 스토어에서는 반복적으로 스파이웨어, 애드웨어 등 각종 멀웨어가 발견되고 있다. 지난 8월에는 한 음악 스트리밍 앱에서 피해자의 연락처, 파일, 문자 메시지를 훔쳐내는 스파이웨어가 발견되기도 했었다. 심지어 이 앱은 이전에 한 번 삭제가 된 적이 있던 것이었다. 즉 같은 멀웨어가 두 번이나 플레이 스토어에 등록된 것이다.
구글은 계속해서 앱 보안을 강화하기 위해 애쓰고 있지만 아직까지는 실효를 거두지 못하는 것으로 보인다. 큐프린즈는 “공식 스토어에서 다운로드 받아 설치한 앱이라고 하더라도, 앱이 요구하는 허용 항목을 꼼꼼하게 살펴야 한다”고 경고한다.
“안드로이드 환경에서는 어떤 앱을 설치하든 반드시 허용 항목을 확인해야 합니다. 앱의 기능과 상관이 없는 기능을 허용해달라고 하거나, 요청의 이유가 불분명할 경우에는 비슷한 기능의 다른 앱으로 미련 없이 넘어가야 합니다. 공식 스토어에 있는 앱도 분명히 의심하고 설치해야 하는 시기입니다.”
3줄 요약
1. 구글 플레이 스토어 또 뚫림.
2. 이번엔 24개 앱의 광고 프레임워크에 조커라는 스파이웨어가 숨어 있었음.
3. 사용자의 각종 정보 훔쳐감. 피해 국가는 유럽과 아시아에 몰려 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
