본문 바로가기

Security_News/해외보안소식

비트 동전 등 여러 가상 통화 발굴하게 불의 애플리케이션 정규 시장에서도 확인

728x90

2014 년 2 월 보안 전문가가 " ANDROIDOS_KAGECOIN.HBT "로 검색되는 새로운 Android 기기를 노리는 악성 앱이 가상 통화 "마이닝 (발굴) '기능 을 갖추고 있다고보고되었습니다. 트렌드 마이크로의 분석을 통해 이러한 잘못된 응용 프로그램은 "Bitcoin (비트 ​​코인)", "Litecoin", "Dogecoin」를 포함한 여러 가상 통화의 발굴 관련 있는지 확인했습니다. 사용자에게 실질적인 영향으로 배터리 수명 단축, 마손의 증가 등으로 모두 단말기의 단 명화에 연결됩니다.

본래 보안 전문가는 "Football Manager Handheld」나 「TuneIn Radio '등 인기 애플리케이션 트로이 목마 화 한 것으로서 「ANDROIDOS_KAGECOIN"을 확인했습니다. 이 응용 프로그램은 정품 Android 용 "가상 통화 발굴 도구 (마이너)"에서 유용 발굴을위한 프로그램 코드가 포함되어있었습니다. 이 코드는 유명한 정규 마이너 "cpuminer」을 바탕으로 한 것입니다.

사이버 범죄자들은​​이 악성 코드를 숨기기 위해 앱의 'Google Mobile Ads "부분을 변경했습니다 (그림 1 참조).

그림 1 : 변경된 "Google Mobile Ads"의 코드
그림 1 : 변경된 "Google Mobile Ads"의 코드

"ANDROIDOS_KAGECOIN.HBT"는 감염 단말기가 인터넷에 연결되었는지 확인하면 백그라운드에서 서비스로 실행됩니다.기본적으로 동적 도메인에 연결 한 후 공동 채굴 네트워크 인 익명의 "Dogecoin"용 마이닝 풀에 유도됩니다.

사이버 범죄자는 2014 년 2 월 17 일 당시이 악성 앱의 네트워크를 이용하여 수천 "Dogecoin"를 벌었습니다. 그 후, 사이버 범죄자는 마이닝 풀을 변경했습니다. 이 악성 앱은 가상 통화 발굴을위한 환경 설정을 업데이트하는 데 필요한 정보가 포함 된 파일을 다운로드하도록 설정되어 있습니다. 환경 설정 파일이 업데이트 된 후 유명한 마이닝 수영장 "WafflePool"에 연결했습니다. 그리고 발굴 된 비트 코인은 사이버 범죄자의 비트 동전 지갑에 전송되는 형태로 여러 번에 걸쳐 지불되었습니다.

그림 2 : 마이닝 풀 환경 설정 코드
그림 2 : 마이닝 풀 환경 설정 코드

상술 한 악성 앱은 Android 용 정규 앱 마켓 인 'Google Play'가 아닌 타사 앱 마켓에서 확인되었습니다. 그러나 당사는 유사한 가상 통화의 발굴을 노리는 악성 앱을 Google Play에서 확인합니다. 이러한 응용 프로그램은 수백만의 사용자가 다운로드되고 있습니다. 즉, 세계의 많은 Android 단말이 사이버 범죄자에 의해 가상 통화의 발굴에 이용되고 있다고 말할 수 있습니다. 당사는이 새로운 가상 통화 발굴 무단 앱을 " ANDROIDOS_KAGECOIN.HBTB "로 감지 대응하고 있습니다. 2014 년 3 월 25 일 현재 아직이 발굴 기능을 갖춘 악성 응용 프로그램은 사용할 수 있습니다.

그림 3 : Google Play에있는 가상 통화의 발굴 기능을 갖춘 악성 앱
그림 3 : Google Play에있는 가상 통화의 발굴 기능을 갖춘 악성 앱

그림 4 : 가상 통화 발굴 악성 앱의 다운로드
그림 4 : 가상 통화 발굴 악성 앱의 다운로드

이러한 악성 앱의 코드를 분석 한 결과, 다른 악성 앱과 달리 단말기가 충전중인 경우에만 발굴이 실행되는 것을 알 수있었습니다. 이것은 배터리 사용량의 증가를 들키지 어렵게하기 위해서라고 생각됩니다.

그림 5 : 가상 통화 발굴 용 코드
그림 5 : 가상 통화 발굴 용 코드

발굴 환경 설정 파일을 업데이트하는 방법도 똑같이 존재합니다. 환경 설정 파일의 분석에서 사이버 범죄자들은​​ 발굴 대상을 「Litecoin "으로 전환을 노리고있는 것으로 추측 할 수 있었다 (그림 6 참조).

그림 6 : "Litecoin"의 발굴로 전환을 표시하는 환경 설정 파일
그림 6 : "Litecoin"의 발굴로 전환을 표시하는 환경 설정 파일

대량 감염 터미널에서 사이버 범죄자들은​​ 상당량의 "Dogecoin"를 모으고있는 것으로 생각됩니다.

이러한 악성 앱의 Web 사이트에 대한 설명과 약관은 애매한 말이나 막연한 용어를 사용하고 있기 때문에 사용자는 자신의 단말기가 잠재적으로 가상 화폐의 발굴에 이용 될 가능성이 있다는 것을 인식하지 못할 수 있습니다.

사이버 범죄자들은​​ 매우 총명한지도 모릅니다 만, 전화가 가상 통화 발굴을 위해 충분한 성능을 갖고 있지 않은 것은 고려하지 않은 것일지도 모릅니다. 사용자가 악성 앱의 괴상한 행동에 곧 알게 될 것입니다. 충전 지연이나 과도한 열을 가진 단말 등 무단 앱의 존재는 완전히 숨길 수는 없습니다. 물론, 사이버 범죄자들은​​ 단말기를 이용하여 돈을 벌 수 있지만 많은 시간이 소요됩니다.

갑자기 전화와 태블릿의 충전이 느려지거나 뜨거워 지거나 빨리 배터리가 없어지는 등의 증상을 경험 한 사람은 이와 같은 위협에 노출 된 가능성을 고려할 필요가있을 것입니다. 또한 Google Play에서 배포 된 앱에도 불행히도 반드시 안전한 것은 아닙니다.

당사는이 문제에 대해 Google Play 보안 팀에보고하고 있습니다.

참고 기사 :

  • Mobile Malware Mines Dogecoins and Litecoins for Bitcoin Payout " 
    by Veo Zhang (Mobile Threats Analyst)
  • 728x90