개요
트랜드마이크로社의 보안 연구원, 800개 이상의 안드로이드 앱에서 정보탈취용 라이브러리 발견
주요내용
구글 플레이 스토어에서 수백만 건 다운로드된 800개 이상의 안드로이드 앱에서 민감한 정보를 수집하고 기타 악성행위 수행이 가능한 ad 라이브러리가 발견됨
“Xavier”라고 명명된 이 ad 라이브러리는 2016년 9월에 확인되었으며, AdDown 악성코드의 변종임
90%의 안드로이드 앱이 무료가 된 이후, 광고는 앱 개발자를 위한 주요 수입원이었으며, 보통 앱 기능에 영향을 주지 않도록 안드로이드 SDK Ads 라이브러리를 통합함
악성 ad 라이브러리는 이미지 편집, 배경화면 및 벨소리 전환, 전화 위치 추적, 램 최적화, 음악·비디오 플레이어 등에 미리 설치되어 옴
Xavier ad 라이브러리의 이전 변종은 목표 디바이스에 다른 앱들을 사용자 모르게 설치하는 애드웨어였지만, 최근에는 악성코드 개발자가 새로운 기능을 추가하여 고도화 됨
정보탈취용 악성코드 “Xavier”의 특징
- 탐지 회피 : 정적·동적 분석을 우회하기 위해 에뮬레이터 환경 유무를 점검하고 암호 통신 사용
- 원격 코드실행 : 명령제어서버(C&C)로부터 코드를 다운로드 하도록 설계되었으며, 공격자는 원격에서 악성코드 실행 가능
- 정보탈취 모듈 : 사용자의 이메일 주소, 장치 아이디, 모델명, 운영체제, 국가, 제조사, SIM 카드 정보, 해상도, 설치된 앱 등의 정보를 탈취하도록 구성됨
베트남, 필리핀, 인도네시아 같은 동남아 국가의 사용자들이 가장 많이 감염됨
구글은 플레이 스토어에서 Xavier에 감염된 안드로이드 앱을 삭제 조치함
시사점
구글 플레이 스토어 등 공식적인 앱 스토어에서 앱을 다운로드할 때라도 의심이 가는 앱의 설치는 자제하고 신뢰된 브랜드의 앱만 설치 필요
[출처]
1. Beware! Over 800 Android Apps on Google Play Store Contain ‘Xavier’ Malware, 2017.6.13
'Security_News > 해외보안소식' 카테고리의 다른 글
| 美 의료부분 사이버보안 TF보고서 발간 (0) | 2017.06.20 |
|---|---|
| SIM 박스 전화사기 주의보 (0) | 2017.06.20 |
| US-CERT: 북한 해킹그룹 히든코브라 경고 (0) | 2017.06.19 |
| 2017년 사이버보안의 5가지 이슈항목 (0) | 2017.06.18 |
| Samba 취약점 공격 암호통화 채굴 프로그램 설치 (0) | 2017.06.15 |