Wins Security Information

보안 정보

앞 내용 보기 다음 내용 보기
보안 동향Google Play Store에 다시 나타난 Joker 트로이 목마 안드로이드 앱
작성일 2022-05-10 조회 2940

 

 

Google Play Store를 통해 확산된 새로운 트로이 목마화된 앱들이 손상된 안드로이드 기기에 악명 높은 Joker 악성코드를 배포하는 것이 관찰되었다.

 

재범자인 Joker는 문자 메시지, 연락처 목록, 기기 정보를 훔치는 등 악성 해커가 선택한 여러 가지 행동을 수행하는 동시에 과금 및 SMS 사기에 사용되는 악성 앱의 부류를 말한다.

 

Google 측의 방어력 확대 시도에도 불구하고, 앱들은 빈틈을 찾아 앱 스토어에 잠입하는 것을 지속적으로 반복해 왔다.

 

Kaspersky 연구원 Igor Golovin은 지난주 발간한 보고서에서 "대개 사기범들이 스토어에서 합법적인 앱을 내려받아 악성코드를 추가한 뒤 다른 이름으로 스토어에 다시 업로드하는 Google Play에 유포된다"고 말했다.

 

트로이 목마화된 앱은 제거된 앱을 대신하여 메시징, 상태 추적 및 PDF 스캐너 앱으로 나타나며, 설치 후 문자 메시지와 알림에 대한 액세스 권한을 요청하여 사용자를 프리미엄 서비스에 가입시키는 데 악용된다.

 

Google Play 검증 과정을 우회하기 위해 Joker가 사용한 교묘한 수법은 악성 페이로드를 "잠복" 상태로 만들고 플레이 스토어에서 앱이 작동한 후에만 기능을 활성화하는 것이다.

 

 

 

[그림 1. Jocker의 페이로드 및 공격 지역]

 

 

Kaspersky가 2022년 2월 말까지 탐지한 조커 감염 앱 중 3개가 아래에 나열되어 있다. 

 

Google Play에서 삭제되었지만 타사 앱 제공업체에서 계속 사용할 수 있다.

 

- 스타일 메시지 (com.stylelacat.message around)

- 혈압 앱 (blood.maodig.raise.bloodrate.monitorapp.plus.tracker.tool.health)

- 카메라 PDF 스캐너 (com.jiao.hdcam.docscanner)

 

앱 장터에서 구독 트로이 목마가 적발된 것은 이번이 처음이 아니다. 

 

지난해 APKure 앱스토어용 앱과 널리 사용되는 WhatsApp 모드가 Triada라는 악성코드와 손상된 것으로 드러났다.

 

그런 다음 2021년 9월에 Zimperium 은 GriftHorse라고 하는 공격적인 돈벌이 계획을 마무리하고 올해 1월 초 Dark Herring 이라는 프리미엄 서비스 남용 사례를 추적했다.

 

Golovin은 "구독 트로이 목마는 유료 서비스를 위해 웹사이트 상의 봇 감지를 우회할 수 있으며, 때로는 사기범 자신의 존재하지 않는 서비스에 사용자를 가입시킨다"고 말했다.

 

"불필요한 구독을 방지하려면 악성 프로그램의 가장 빈번한 소스인 비공식 소스의 앱을 설치하지 마십시오."

 

공식 앱스토어에서 앱을 내려받을 때도 이용자들은 리뷰를 읽고 개발자의 합법성, 이용약관을 확인한 뒤 의도된 기능을 수행하는 데 꼭 필요한 권한만 부여해야 한다.

 

 

 

 

 

출처
https://thehackernews.com/2022/05/another-set-of-joker-trojan-laced.html

첨부파일 첨부파일이 없습니다.
태그 Trojanized Apps