보안동향

최신 보안정보를 신속하게 전해드립니다.

[해외동향] 1억 번 이상 다운로드 된 CamScanner 앱에서 악성코드 발견

2019-08-28

구글 플레이 1억 번 이상 다운로드 된 모바일 PDF 제작 앱인 CamScanner 무료 버전 앱에서 악성 코드가 발견되었다. 

 



현재 구글 플레이에서 해당 앱은 삭제되었으나 사용자의 안전을 위해 기기에 설치된 CamScanner를 제거해야 한다.

 

CamScanner에서 발견된 악성코드는 앱 자체에 포함된 것이 아니라 앱에 포함된 타사 광고 라이브러리를 통해서 드롭퍼 모듈이 동작하는 것으로 확인되었다. 드롭퍼 모듈을 통해 앱 리소스에 포함된 암호화 된 파일에서 악성 코드를 해독하고 실행한다. 다른 악성 모듈을 추출해 실행하고, 이를 통해 C&C서버에서 추가 모듈을 다운 받아 악성 프로그램을 사용자 몰래 다운로드하고 설치할 수 있다. 또한, 이전에 중국 스마트폰에 사전 설치된 앱에서 확인된 적 있다. 

 

공격자는 악성코드를 통해 광고를 표시하고 유료 서비스를 가입하게 하는 방법으로 이득을 취하는 것으로 알려졌다.

 

CamScanner 개발자는 최신 업데이트를 통해 악성 코드를 제거하였다고 하나, 해당 앱이 기기마다 다르며 여전히 악성코드가 존재할 위험이 있다. 해당 취약점은 확인되기 이전부터 해당 앱의 사용자 중 일부가 악성 행위에 대한 의심을 하여 앱 리뷰에 경고 및 부정적인 리뷰를 남겼고, 이를 확인하여 조사가 실행된 것으로 알려졌다.

 

CamScanner와 같은 좋은 평판을 갖고 있으며 1억회 가까운 다운로드 수를 기록한 앱에서도 한 순간에 악성코드가 포함되어 질 수 있다는 점을 인지해야한다. 

 

구글 플레이에 수많은 앱이 정기적으로 업데이트되는 상황에 구글 플레이의 점검이 모두 이루어진다고 신뢰하기 어려우므로 사용자가 앱을 설치하고 사용하는데 주의를 하고, 앱의 권한을 확인하여 목적에 부합한 권한만을 부여하는 것이 필요하다. 또한, 업데이트를 실시할 때도 리뷰와 내용에 대해서도 인지하는 것이 필요하다.

 

해당 악성 코드의 IOC정보인 MD5와 C&C 서버 주소들은 다음과 같다.

 

C&C

  • https : //abc.abcdserver [.] com : 8888
  • https : //bcd.abcdserver [.] com : 9240
  • http : //cba.abcdserver [.] com : 8888
  • https : //bcd.abcdserver [.] com : 9240

 

MD5

  • 7b7064d3876fc3cb1b3593e3c173a1a2
  • b6656bb8fdfb152f566723112b0fc7c8
  • d3ccb1b4feea5fee623fad5c5948b09b
  • 7186f405f82632f45ad51226720a45b5
  • 9d6439756af0686974ac9f920d56dd39
  • 10573004477fb4a405d41d6ee4dbdd64
  • e8d361827438873ae27ac5200f3f91be
  • 85c96e359dd48bb814e2ddf34bc964fa
  • cdf045f1d96fae53d3986b985d787b59
  • 9fbc7c3c3326bfc710f9b079766cf85c
  • 2087986583416f45ae411ebd8c5db8aa
  • a1b3551ec1dcdce7ac2655994697a02d
  • d0ae4282d629518458fb5ca765627a71
  • d28ec38edda65324299fc0dcddca9740
  • 2e9eef8b88bf942e416ed244a427d20c
  • 45fac5ad7be24f5110c5e77c2a7a42f6
  • 5d52373b32cbcfdfb25dd20d267b5186
  • 66db48ce2ff503a27cb9c1617e9a2583
  • bcbf463050a0706b008e21a846b3185e
  • 19c6604f18d963f0320d8ddee98a9fd0
  • 44196cbce4e57e60443a9c19281e532f
  • 1807f8d8e711fd12a6127455afe98e85
  • 3e3db74a1ee8da53f05b61dde65a95b3
  • 170646ee90094db9516ca4a054bf2804
  • da953233a618570336e2e5ddd6464e67
  • c69a2d2b0bf67265590c9be65cd4286b
  • 96db624fa2532d14dd43c7ad3124c385
  • d07846903cb78babac78f0dd789d262e
  • a02811248a0d316a1f99d07e60aa808e
  • 74709014aa553b92fe079cf8941d64f6
  • f8b8fd44952ca199d292570ff6da5e8f
  • 9eff49dc969eea829e984bad34b7225c
  • 5bf2d280557e426e90c086fb89dc401f
  • e7705517e9e469921652ad33f87d7c22
  • dbb53ee8229cf4e8ae569a443bcd59d3
  • 3d37fbbffc45b7ca11e20ed06cc2f0f6
  • ec11fb61eababc7586e1874c92f7629e
  • b5c7b67e9650bf819b70d2c0a5ca7c63
  • 7b7064d3876fc3cb1b3593e3c173a1a2
  • b6656bb8fdfb152f566723112b0fc7c8
  • d3ccb1b4feea5fee623fad5c5948b09b
  • 7186f405f82632f45ad51226720a45b5
  • 9d6439756af0686974ac9f920d56dd39
  • 10573004477fb4a405d41d6ee4dbdd64
  • e8d361827438873ae27ac5200f3f91be
  • 85c96e359dd48bb814e2ddf34bc964fa
  • cdf045f1d96fae53d3986b985d787b59
  • 9fbc7c3c3326bfc710f9b079766cf85c
  • 2087986583416f45ae411ebd8c5db8aa
  • a1b3551ec1dcdce7ac2655994697a02d
  • d0ae4282d629518458fb5ca765627a71
  • d28ec38edda65324299fc0dcddca9740
  • 2e9eef8b88bf942e416ed244a427d20c
  • 45fac5ad7be24f5110c5e77c2a7a42f6
  • 5d52373b32cbcfdfb25dd20d267b5186
  • 66db48ce2ff503a27cb9c1617e9a2583
  • bcbf463050a0706b008e21a846b3185e
  • 19c6604f18d963f0320d8ddee98a9fd0
  • 44196cbce4e57e60443a9c19281e532f
  • 1807f8d8e711fd12a6127455afe98e85
  • 3e3db74a1ee8da53f05b61dde65a95b3
  • 170646ee90094db9516ca4a054bf2804
  • da953233a618570336e2e5ddd6464e67
  • c69a2d2b0bf67265590c9be65cd4286b

 

[IOC정보 출처 - https://securelist.com/dropper-in-google-play/92496/]

[출처 - https://www.kaspersky.com/blog/camscanner-malicious-android-app/28156/]

 

보안관제센터 MIR Team

목록