보안동향
최신 보안정보를 신속하게 전해드립니다.
[해외동향] 구글 플레이 스토어에서 Joker·Face Stealer·Coper 악성코드를 배포하는 앱 발견
2022-07-20Zscaler의 ThreatLabz가 구글 플레이 스토어에서 정상 애플리케이션에 악성 페이로드를 숨기고 있는 3가지 악성코드 패밀리를 발견하였습니다.
발견된 악성코드 패밀리는 "Joker", "Facestealer" 및 "Coper"로 알려졌으며, 구글은 플레이 스토어에서 해당 악성코드를 배포하는 수십 개의 악성 애플리케이션을 발견하여 제거 조치하였습니다.
악성 앱을 설치한 사용자는 데이터 및 소셜 미디어 계정 탈취, SMS 탈취, 휴대폰 번호에 대한 요금 청구 등의 피해를 입을 수 있습니다.
Joker
Joker 악성코드 패밀리는 감염된 기기에서 SMS 메시지 및 피해자의 연락처 목록을 포함한 정보를 탈취하는 동시에, 휴대폰 번호를 프리미엄 WAP(무선 응용 프로토콜) 서비스에 등록하는 데 사용합니다.
Zscaler의 보고서에서 플레이 스토어에서 총 30만 건 이상의 다운로드를 기록한 Joker로 트로이목마화된 50개의 앱을 확인할 수 있습니다.
이들 중 거의 절반은 커뮤니케이션 앱입니다. 왜냐하면 사용자로 하여금 자연스럽게 위험한 권한에 대해 액세스 권한을 부여받아야 하므로, 악성 프로그램이 악의적인 행위에 필요한 높은 수준의 권한을 쉽게 획득할 수 있기 때문입니다.
[그림 1] Base64 암호화 (출처 : Zscaler)
Joker 개발자는 공통 자산 파일의 페이로드를 Base64로 난독화된 형식으로 숨기고, 때로는 JSON, TTF, PNG 또는 데이터베이스 파일 확장자를 제공합니다.
보고서에서 Zscaler는 “많은 Joker 앱은 APK(Android Package Kit)의 자산 폴더에 페이로드를 숨기고 x86 아키텍처를 기반으로 하는 대부분의 샌드박스에 의해 탐지되지 않도록 ARM ABI 실행 파일을 생성한다.”라고 설명했습니다.
Face Stealer
Facestealer는 정상 앱의 로그인 양식 위에 겹쳐진 가짜 로그인 양식을 사용하여 피해자의 Facebook 계정을 탈취합니다.
연구원들은 약 5,000번 설치된 “Vanilla Snap Camera”라는 이름의 응용 프로그램에서 Facestealer 악성코드를 발견하였습니다.
기기가 감염되면 사용자는 Facebook에 로그인하라는 메시지가 표시되고, 자격 증명을 입력하지 않으면 앱을 사용할 수 없습니다.
[그림 2] 가짜 페이스북 로그인 화면 (출처 : Zscaler)
The Coper
Coper는 SMS 문자 메시지를 가로채고, USSD 메시지를 전송하며, 키로깅, 장치 화면 잠금 및 해제, C2 서버와의 연결 등을 통해 감염된 기기를 제어하고 원격 명령을 실행할 수 있도록 합니다.
이는 궁극적으로 공격자가 피해자로부터 금전을 탈취하는데 활용할 수 있는 정보와 접근 권한을 얻게 됩니다.
Zscaler의 분석가는 Coper 악성코드를 숨겨서 약 1,000개의 장치를 감염시킨 “Unicc QR Scanner”라는 앱을 발견했습니다.
앱 자체적으로는 악성코드가 포함되어 있지는 않지만, 설치 및 실행되면 가짜 프로그램 업데이트를 통해 악성코드를 다운로드합니다.
[그림 3] Coper 악성코드 감염 과정 (출처 : Zscaler)
대응 방안
구글 플레이 스토어에서 신뢰할 수 없고 적합하지 않은 앱은 설치하지 않아야 합니다. 절대적으로 필요한 애플리케이션만 설치해야 하며, 앱 설치 전 리뷰를 읽고 악성 행위를 발견한 사용자가 있는지 확인합니다.
설치 시 요청된 권한을 자세히 읽어보고, 특히 앱의 핵심 기능과 관련 없어 보이는 경우 접근 권한을 부여하지 않도록 합니다.
마지막으로 기기에서 Play Protect가 활성화되어 있는지 확인하고, 네트워크 데이터와 배터리 소모량을 정기적으로 확인하여 백그라운드에 실행 중인 의심스러운 프로세스를 찾아냅니다.
IOCs
|
No. |
Malware |
IOC |
|
1 |
Joker |
http://givehotdog[.com] |
|
2 |
https://trustcats[.com] |
|
|
3 |
http://giveme8[.com/] |
|
|
4 |
https://xjuys[.]oss-incate[.aliyuncs[.com/xjuys] |
|
|
5 |
http://http:/http:/http:/hell[.180][. |
|
|
6 |
https://xjuys[.]oss-incate[.aliyuncs[.com/fbhx1] |
|
|
7 |
https://xjuys.oss-cate[.aliyuncs[.com/fbhx2] |
|
|
8 |
FaceStealer |
busy now [.store] |
|
9 |
Zs8668[.com] |
|
|
10 |
kcoffni [ ]]xyz |
|
|
11 |
Coper |
raw[.]githubusercontent[.]com/k6062019/qq/main/porc[.]apk |
|
12 |
abashkinokabashkinok[.]top/ZmEwY2ZmZWYzN2Mw/ |
|
|
13 |
asqwnbvb[.]shop/ZmEwY2ZmZWYzN2Mw/ |
|
|
14 |
barabashkinok[.]top/ZmEwY2ZmZWYzN2Mw/ |
|
|
15 |
ccnfddbvb[.]pics/ZmEwY2ZmZWYzN2Mw/ |
|
|
16 |
eendfbvb[.]sbs/ZmEwY2ZmZWYzN2Mw/ |
|
|
17 |
nbervbwe[.]monster/ZmEwY2ZmZWYzN2Mw/ |
|
|
18 |
nbrtvbsd[.]mom/ZmEwY2ZmZWYzN2Mw/ |
|
|
19 |
nbvb3954[.]fun/ZmEwY2ZmZWYzN2Mw/ |
|
|
20 |
nbvbvber[.]makeup/ZmEwY2ZmZWYzN2Mw/ |
|
|
21 |
nbvmnbbn[.]lol/ZmEwY2ZmZWYzN2Mw/ |
|
|
22 |
nbvvvb[.]hair/ZmEwY2ZmZWYzN2Mw/ |
|
|
23 |
nterospbnvdos[.]site/ZmEwY2ZmZWYzN2Mw/ |
|
|
24 |
nterospusios[.]shop/ZmEwY2ZmZWYzN2Mw/ |
|
|
25 |
ntospusios[.]top/ZmEwY2ZmZWYzN2Mw/ |
|
|
26 |
nytbvb[.]one/ZmEwY2ZmZWYzN2Mw/ |
|
|
27 |
qqnnffbvb[.]space/ZmEwY2ZmZWYzN2Mw/ |
|
|
28 |
qwnnnbvb[.]skin/ZmEwY2ZmZWYzN2Mw/ |
|
|
29 |
vbfdnbvb[.]online/ZmEwY2ZmZWYzN2Mw/ |
|
|
30 |
vntososupplsos[.]live/ZmEwY2ZmZWYzN2Mw/ |
|
|
31 |
wwereffnbvb[.]store/ZmEwY2ZmZWYzN2Mw/ |
|
|
32 |
xxfdnbvb[.]quest/ZmEwY2ZmZWYzN2Mw/ |
출처
보안관제센터 MIR Team