보안전문가들은 구글 플레이 스토어에서 조커(Joker) 모바일 트로이 목마와 관련된 악성 안드로이드 앱이 증가했다고 보고했다. 이들 앱은 스캐너를 피할 수 있는 악성앱들이다.

조커 악성코드는 시스템 앱으로 위장한 악성코드로, 공격자가 구글 플레이 프로텍트 서비스 비활성화, 악성 앱 설치, 가짜 리뷰 생성, 광고 표시 등 다양한 악성 작업을 수행할 수 있도록 한다.

또 SMS 메시지, 연락처 목록 및 장치 정보를 훔치고 피해자를 프리미엄 서비스 구독에 등록할 수 있다.

2019년부터 전문가들은 구글 플레이 스토어에서 많은 조커앱을 찾았고, 2019년 9월에는 구글의 보안 전문가가 스토어에서 24개의 앱을 제거했다.

2021년 4월, 50만명 이상의 화웨이 사용자가 회사의 공식 안드로이드 스토어에서 오염된 앱을 다운로드 한 후 조커 멀웨어에 감염된 바 있다.

보안업체 짐페리움에 따르면 지난 4년 동안 조커에 감염된 1,800개 이상의 안드로이드 앱이 구글 플레이 스토어에서 제거되었으며 9월 이후로 최소 1,000개의 새로운 샘플이 감지되었다고 밝혔다.

한편 전문가들은 위협 행위자가 공식 및 비공식 앱 스토어에 오염된 앱을 업로드하는 새롭고 독특한 방법을 찾아냈다고 말했다.

진화하는 공격은 작성자가 탐지를 피하기 위해 멀웨어를 계속 수정하고 있음을 보여준다.

2020년 말에 위협 환경에 등장한 최신 버전의 Joker 뒤에 있는 개발자는 구글 오픈 소스 앱 개발 키트 Flutter를 사용해 깨끗한 것처럼 보이는 기존 스캐너를 우회할 수 있는 애플리케이션을 만들기 시작했다.

이들은 스캐너 감지를 피하기 위해 스테가노그래피를 사용해 이미지 내부에 숨겨놓는 방식을 채택했다.

이미지는 합법적인 클라우드 파일 호스팅 서비스에서 호스팅되며 맬웨어는 기본 라이브러리 조합을 사용해 APK 자산에서 오프라인 페이로드를 해독하거나 페이로드를 위해 C&C에 연결한다.

보안전문가들은 “조커 맬웨어는 심각한 위협이며 개발자의 능력과 공식 스토어의 보안 스캐너를 우회하려는 노력은 모바일 사용자에게 심각한 위험을 초래할 것”이라고 우려했다.

★정보보안 대표 미디어 데일리시큐!★