Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향구글 스토어, 75만명이 받은 결제 사기 앱
작성일 2021-04-21 조회 1511

android malware

 

 

지난 4월 12일 화웨이 이용자 중 50만 명이 Joker 악성 코드에 감염된 앱을 다운로드 받은 사례가 있다. 보기엔 정상적인 것으로 보이는 이 앱들은 사용자의 SMS 메시지를 하이재킹하여 다른 웹 사이트의 프리미엄 구독을 자동으로 신청하는 기능을 가지고 있었다. 이 때 심어져 있던 Joker 악성 코드가 그 기능을 수행한다.

 

 

 

[그림 1. 구글 스토어 Joker 감염 앱 관련 트위터 게시글]

 

 

이제 이런 악성 앱들이 구글 플레이 스토어에서도 일어나고 있다. 2020년 12월과 올해 1월, 악성코드 분석 전문가인 Tatyana Shishkova는 이 악성 코드가 심어진 앱이 구글 플레이 스토어에도 구현되고 있다는 글을 자신의 트위터에 올렸다. 구글은 2020년 초까지 감염된 앱 배포를 플레이 스토어에서 차단했지만 여전히 일부 악성 앱들이 플레이 스토어에서 배포되고 있었다.

 

현재 서남아시아와 아라비아에서 플레이 스토어에서 해당 앱들이 차단될 때까지 이미 70만명이 다운로드를 받은 상태다.

 

이 앱들은 사진 편집, 배경 화면, 퍼즐, 키보드 스킨 및 카메라 앱 같은 형태를 띠고 있다. 이런 감염 앱들은 초기에 정상 앱으로 플레이 스토어에 올리고 이후에 버전 업데이트를 수행하면서 감염 앱을 업로드하는 방식으로 감염 앱들을 배포하였다. 이 같은 방식으로 사용자로 하여금 해당 앱이 정상인 것처럼 속일 수 있었다.

 

 

 

[그림 2. 감염된 앱 복호화 과정]

 

 

감염된 앱은 암호화가 되어 있어 복호화하는 과정을 거쳐야 하는데, 이 때 공격자의 C2 서버에서 복호화 키를 얻는다. [그림2]을 보면 1[.]png 파일에서 loader[.]dex 파일을 복호화하고 서버에서 key를 받아와 추가적으로 복호화 하는 것을 볼 수 있다.

 

 

그림 5 HTML에서 조커 구문 분석 및 검색

 

[그림 3. HTML 태그를 가져오는 과정]

 

 

앱의 작동방식을 보면 앱이 실행되는 사용자의 휴대폰의 정보를 가져온다. 가져오는 정보에는 사용자의 휴대폰 번호와 기기 정보가 포함되어 있다. 가져온 정보와 앱 안에 있는 파일인 autopilot[.]js 에 있던 프리미엄 구독 제공 웹 사이트 URL를 이용하여 공격을 시도한다. URL로 연결된 웹 페이지에서 특정 HTML 태그(button, input)들을 가져와 사용자의 휴대폰 정보와 매칭 시킨다. 매칭된 정보를 해당 웹 사이트에 보내면 프리미엄 웹 사이트에서 자동으로 구독 신청된다. 

 

 

그림 -6- 조커 우회 -Google-CAPTCHA

 

[그림 4. CAPTCHA 우회]

 

 

자동으로 구독 신청이 되는 과정에서 해당 웹 사이트가 보안 정책으로 사용하는 CAPTCHA 방식을 우회해야 할 필요가 있다. 또는 OTP 번호를 입력 해야 할 필요가 있다. Joker 악성 코드는 이런 CAPTCHA를 우회 하는 코드가 포함되어 있다. ([그림 4] 참고) OTP 번호는 Joker가 가지고 있는 SMS 메시지 하이재킹 기능을 통해서 자동으로 입력하게 구현되어 있다.

 

지금까지 Joker 악성 코드의 자동 구독 수행 방식은 다음과 같다.

 

1. 앱 사용자의 정보를 가져온다.

2. 모바일 구독 서비스에 사용자의 정보를 입력한다.

3. OTP 버튼을 자동으로 클릭한다.

4. 하이재킹을 통해 얻은 OTP를 자동으로 입력한다.

5. 구독 버튼을 클릭한다.

 

 

이런 악성 앱을 만든 공격자는 어떤 이득을 취할 수 있을까? 그 내막은 밝혀지지 않았지만 Trend Micro는 이런 악성 앱이 계속 공격으로 수행되는 것을 볼 때, 이 악성 앱 개발자는 공격이 수행될 때마다 어떠한 이득을 취하고 있을 것이라고 추측하고 있다. 

 

 

출처 

http://feedproxy.google.com/~r/TheHackersNews/~3/kqinvgKL80E/over-750000-users-download-new-billing.html

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/clever-billing-fraud-applications-on-google-play-etinu/

https://www.trendmicro.com/en_us/research/21/c/no-laughing-matter-joker-latest-ploy.html

첨부파일 첨부파일이 없습니다.
태그 Joker  Tatyana Shishkova  Trend Micro  McAfee