2024-03-29 00:45 (금)
스마트폰 500만대에 악성앱 미리 심어...11만5천달러 수익
상태바
스마트폰 500만대에 악성앱 미리 심어...11만5천달러 수익
  • 길민권 기자
  • 승인 2018.03.19 21:25
이 기사를 공유합니다

Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung, GIONE 등에서 생산 된 스마트폰에 탑재

mobile-phone-1917737_640.jpg
보안 연구원들이 이미 전 세계 5백만대에 가까운 모바일 기기들을 감염시킨 대규모 악성코드 캠페인을 발견했다.

RottenSys라 명명 된 이 악성앱는 ‘System Wi-Fi Service’(시스템 와이파이 서비스)앱으로 위장하고 있으며 Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung, GIONE 등에서 생산 된 새 스마트폰 수 백만 대에 공급 망 어딘가에서 선 탑재 되어 출고되고 있었다.

이에 영향을 받은 모든 기기들이 중국 항저우의 모바일 기기 배포업체인 Tian Pai를 통해 배송 되었지만, 연구원들은 이 회사가 직접적으로 이 캠페인에 참여했는지 여부는 정확히 알 수 없었다고 밝혔다.

이 캠페인을 발견한 연구원들에 따르면, RottenSys는 어떠한 안전한 와이파이 관련 서비스를 제공하지 않으며 악성 행동을 위해 거의 모든 중요 안드로이드 권한들을 사용하는 고급 악성앱이다.

연구원들은 “RottenSys 악성앱은 2016년 9월부터 배포 되기 시작했으며, 2018년 3월 12일 기준으로 496만4천460대의 기기들이 이에 감염 되었다”고 말했다.

탐지를 피하기 위해 가짜 시스템 와이파이 서비스 앱은 초기에는 악성 컴포넌트를 포함하고 있지 않으며 즉시 악성 행동을 시작하지도 않는다.

대신 RottenSys는 실제 악성 코드가 포함 된 컴포넌트의 목록을 받아오기 위해 C&C 서버와 통신한다.

이후 "DOWNLOAD_WITHOUT_NOTIFICATION" 권한을 이용해 사용자와의 아무런 상호작용 없이 모든 컴포넌트를 다운로드 및 설치한다.

현재 이 대규모 악성코드 캠페인은 애드웨어 컴포넌트를 감염 된 모든 기기에 푸시해 기기의 홈 화면, 팝업 윈도우, 풀 스크린 광고 등을 통해 광고 수익을 발생시키고 있다.

“RottenSys는 매우 공격적인 광고 네트워크다. 이는 단 10일만에 공격적인 광고를 1천325만756회나 노출시켰으며, 이들 중 54만8천822건이 광고 클릭으로 이어졌다.

보안연구원들에 따르면, 공격자들은 이 악성앱을 이용해 단 10일 만에 11만5천 달러 이상의 수익을 올렸지만 이에 그치지 않고 “단순히 원하지 않는 광고를 표시하는 것 이외에 더 큰 파괴력을 주는 공격을 준비중"이라고 밝혔다.

RottenSys는 C&C 서버로부터 어떤 새로운 컴포넌트라도 다운로드 및 설치가 가능하도록 설계 되었기 때문에 공격자들은 이를 아주 쉽게 무기화하거나 수 백만 대의 감염 기기들을 제어할 수 있게 된다.

또한 조사 결과, RottenSys 공격자들이 이미 감염 된 기기들을 대규모 봇넷 네트워크로 만들기 시작했다는 증거도 발견 되었다.

감염 된 기기들 중 일부가 공격자들이 추가 앱을 설치하거나 UI 자동화가 가능하도록 더 많은 권한을 주는 새로운 RottenSys 컴포넌트를 설치한 것이 발견 되었다.

이스트시큐리티 관계자는 "이 악성앱에 기기가 감염 되었는지 확인하려면, 안드로이드 시스템 설정---> 앱 관리에서 아래의 악성앱을 찾아 언인스톨 하면 된다

APP-1.jpg
★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★