트렌드 마이크로는 Google Play에 공개 된 340 개의 앱에 광고 클릭을 자동으로 계산하는 애드웨어가 포함 된 것을 확인했습니다. 당사는이 애드웨어 "GhostClicker (고스트 리모콘)"( "ANDROIDOS_GHOSTCLICKER.AXM"로 검색)라고 명명했습니다. 문제의 GhostClicker가 포함 된 응용 프로그램 중 하나에 이미 100 만 회 이상 다운로드되는 "Aladdin 's Adventures World '라는 게임 앱이 있으며, 이외에도, 세제 및 부스터와 같은 최적화 도구, 파일 관리 , QR 스캐너와 바코드 스캐너, 멀티미디어 레코더 및 플레이어, 충전 관리 도구, GPS 및 네비게이션 앱 등이 확인되고 있습니다.
2017 년 8 월 7 일 현재 확인 된 애드웨어를 통합하는 응용 프로그램의 대부분은 Google Play에서 이미 삭제되어 있지만, 101 개에 대해서는 아직 다운로드 가능한 상태입니다. 이러한 응용 프로그램이 발견 된 지역은 동남아 국가 다른, 브라질, 일본, 대만, 러시아, 이탈리아, 미국입니다.
문제의 GhostClicker는 Google의 인기 앱 및 API를 정리 한 「Google 모바일 서비스 (GMS)」나 「Facebook 광고 "소프트웨어 개발 키트 (SDK)에"logs "라는 패키지 이름의 자신의 코드를 내장 정품 응용 프로그램처럼 위장합니다.
그림 1 : GhostClicker가 내장 된 게임 응용 프로그램. 설치 수는 100 만 ~ 500 만 회
그림 2 : GMS (왼쪽) 및 Facebook 광고 (오른쪽)의 SDK에 포함 된 코드
■ 관리자 권한을 요구하는 GhostClicker
GhostClicker 활동을 수행하는 조건이 있습니다. 앱을 실행하면 Android 단말 시스템 속성 "http.agent"를 확인합니다. 이 속성은 Android 단말의 User-Agent 문자열을 정의합니다. User-Agent 문자열에 "nexus"가 포함 된 경우 GhostClicker이 시작되지 않습니다. 이것은 "Android 응용 프로그램 샌드 박스"등의 샌드 박스 기술을 회피하는 목적으로 간주합니다. Android 에뮬레이터와 샌드 박스 환경은 보통 "Nexus ○○○"라고 명명하고 있기 때문입니다.
그림 3 : 터미널 "http.agent"에 "nexus"가 포함되지 않은 것을 확인하고 시동
분석 한 GhostClicker을 포함하는 응용 프로그램은 처음 실행할 때 모바일 기기 관리자 권한을 요구하는 것만으로 데이터 삭제 및 비밀번호 재설정 등의 보안 설정은 표시하지 않을 수있었습니다. 이것은 사용자에게 응용 프로그램을 쉽게 제거되지 않도록하는 수법으로 간주합니다. 모바일 단말 관리 권한을 부여 응용 프로그램을 제거하려면 어려워 먼저 단말 관리 권한을 무효화 할 필요가 있기 때문입니다.
그림 4 : 모바일 기기 관리자 권한을 요구하는 GhostClicker를 통합 앱
그림 5 : 앱 제거 할 수 없다고 전 사용자 리뷰
■ 자동 클릭 광고 수익을 얻을 GhostClicker
분석 한 GhostClicker는 JavaScript 코드를 이용하여 광고를 검색하고 클릭하면 다른 애드웨어와 달리 자신의 코드를 Google의 모바일 광고 플랫폼 'AdMob'의 SDK를 통합해서 광고를 검색합니다. Android 기기의 화면 크기 (세로 x 가로)을 확인한 후 적절한 XY 좌표를 계산하여 터치 이벤트를 처리하는 dispatchTouchEvent 메소드를 이용합니다. 실제로 GhostClicker라는 이름이 있듯이, 마치 유령이 단말기 화면에 표시되는 광고를 클릭하는 것처럼 실행됩니다.
또한 GhostClicker 가짜 트래픽을 생성하고 광고 수익의 기회를 늘리십시오. 명령 및 제어 (C & C) 서버와의 통신을 이용하여 Google Play의 콘텐츠 더보기 다운로드 될 때 또는 YouTube에서 열린 때 팝업 광고를 표시합니다. 모바일 단말 관리 권한이 활성화되면 GhostClicker 분 간격으로 자동으로 클릭합니다.
그림 6 : 'AdMob'광고를 읽는 코드
그림 7 : XY 좌표를 계산하는 코드
그림 8 : 계산 된 XY 좌표에서 터치 이벤트를 생성하는 코드
그림 9 : dispatchTouchEvent 메소드를 이용하여 광고를 자동 클릭 코드
■ GhostClicker의 업데이트 내역
GhostClicker의 업데이트 내역을 검토 한 결과, 자동 클릭 기능이 탑재 된 버전은 초기 버전과 그동안의 업데이트 된 버전은 자동 클릭 기능과 모바일 기기 관리자 권한 요청 부분이 모두 삭제되는 것을 확인할 수있었습니다. 이것은 사용자에게 들키지 않고 활동하는 것을 노린 시도로 간주합니다. 그리고 단말기의 화면 잠금이 해제되면 데이터 통신 연결되어있는 경우 GhostClicker는 일정한 간격으로 팝업 광고를 표시하고 있습니다. 위의 Aladdin 's Adventure 's World는이 버전의 GhostClicker이 포함되어있었습니다.
GhostClicker가 포함 된 응용 프로그램은 약 1 년 동안 지속적으로 출시되고 있었던 것이 확인되고 있습니다.
- 빨라도 2016 년 8 월까지 'GMS'에 포함된다. 자동 클릭 기능을 사용하여 관리자 권한을 요구하는 초기 버전이 확인되는
- 2017 년 3 월까지 'Admob ","Startapp', 'Facebook 광고'를 이용한다. 자동 클릭 기능을 제거하고 대신 C & C 명령으로 팝업 광고를 표시하는 것이 확인된다
- 2017 년 5 월까지, "Facebook 광고 '의 SDK를 이용하여 자동 클릭 기능을 다시 통합
이러한 업데이트와 확산이 계속되고 있기 때문에 GhostClicker가 클릭 사기 캠페인 활동 자칫 사이버 범죄 활동 일 가능성도 생각할 수 있습니다.
■ 피해를 당하지 않기 위해서는
일반 광고는 모바일 산업에 필수적인 것이지만, 이번 보도했다 GhostClicker처럼 사용자에게 해를 입힐 애드웨어 가 단말에 침입하는 경우가 있습니다. 이런 애드웨어는 CPU 사용량, 배터리 소모 및 데이터 통신량 등 단말의 자원에 큰 부담을주게됩니다. 또한 사용자의 개인 정보가 깨닫지 못하는 사이에 절취되어 유출로 이어질 수 있습니다. 애드웨어는 단순히 성가신 광고 표시 활동에 그치지 않고 불법 활동을 수행하는 악성 코드로 사용자를 유도 할 수 있습니다.
GhostClicker 같은 애드웨어에 의한 피해는 일반적으로 기업용 단말기와 BYOD 관리, 보안 등의 애플리케이션에서 사용되는 모바일 기기 관리자 설정 기능을 제한하여 줄일 수 있습니다. 이러한 제한을해도 사용자의 사용감에 큰 영향은 없을 것입니다.
단말기의 OS를 최신 상태로 유지하십시오. 이용 단말이 업데이트에 대응하지 않는 경우, 단말기 제조업체에 OS 업데이트에 대해 문의 할 수 있습니다. 또한 개인의 모바일 기기를 보호하기위한 모범 사례 를 채택하십시오. 기업용 단말기와 BYOD 환경 은 모바일 단말 관리 기능을 사용하기 위해 같은 모범 사례를 도입해야합니다. 앱 리뷰를 읽고 응용 프로그램에 수상 쩍은 행동이 없는지 확인하는 것도 도움이됩니다.
'malware ' 카테고리의 다른 글
악성코드 주의 안내 (0) | 2017.08.23 |
---|---|
미라이 봇넷감염 주의 당부 (0) | 2017.08.22 |
한국에서 확인 된 사이버 공격 "OnionDog 작전 '을 면밀히 조사 (0) | 2017.08.22 |
인구보건 복지 협회 디페이스 소식 (0) | 2017.07.16 |
배터리 관련 컨퍼런스 사이트 디페이스 (0) | 2017.07.12 |