이 악성 코드는 이미지 에디터, 계산기, 언어 학습 앱, 우주 탐험 앱 등 무해해 보이는 안드로이드앱들 53개에서 발견되었다.
이 어플리케이션들은 예상한 대로 동작하며 RedDrop 악성코드는 백그라운드에서 실행 된다.
일단 감염 된 앱이 설치 되면, 서로 다른 C&C 서버에서 최소 7개의 안드로이드 어플리케이션 패키지(APK)들을 다운로드한다. 이들은 각각 악성 기능들을 구현한다. 이 APK들은 기기의 메모리에 저장 되며 이러한 트릭을 사용해 원래 악성코드 샘플에 기능을 포함하지 않고도 실행될 수 있다.
RedDrop 악성코드는 유료 서비스에 문자메시지를 보내고 사용자에게 발각되는 것을 피하기 위해 즉시 메시지를 삭제할 수 있다.
연구원들은 악성 앱들이 4천개 이상의 도메인으로 이루어진 아주 복잡한 네트워크에서 배포된다는 사실을 발견했다. 이들은 모두 중국의 언더그라운드 그룹이 등록한 도메인인 것으로 밝혀졌다.
연구원들이 발견한 앱들 중 하나는 사용자가 기능을 사용할 때 마다 유료 서비스에 SMS 메시지를 보내도록 설계 되었다. 이후 모든 메시지를 삭제해 유료 서비스에 SMS를 보냈다는 모든 증거를 삭제한다.
이스트시큐리티 측은 "대부분의 감염은 중국에서 발견되었으며 유럽과 미국에서도 발견되고 있다. 한국도 주의해야 한다"며 "이 앱은 써드파티 앱스토어 및 웹사이트들에서 가장 많이 발견 되었으며 아직까지 공식 스토어 및 구글 플레이스토어에서는 발견 되지 않았다"고 밝혔다.
★정보보안 대표 미디어 데일리시큐!★
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지