|
화웨이 안드로이드, Joker 악성 코드 50만대 이상 감염 침해사고분석팀 2021.04.12 |
|
|
화웨이 이용자 중 50만 명 이상이 Joker 악성 코드에 감염된 것으로 나타났다. 감염 경로는 화웨이 공식 안드로이드 앱 스토어에 배포 중이던 악성 앱들이었다. 이 악성 앱들로 인해 감염되면, Joker 악성코드는 프리미업 모바일 서비스를 구독하는 기능을 수행한다. 연구원들은 화웨이 공식 앱 갤러리에서 10개의 악성 앱을 찾았다. 이 앱들은 겉으로는 악성이지 않지만 악성 명령어를 통해 C2서버에 연결을 요청한다. 그리고 C2서버와 관련된 추가 구성 요소들을 다운로드 받는다.
[그림 1. 화웨이 공식 앱 갤러리]
안티바이러스를 만드는 Doctor Web의 보고서에 따르면 악성 앱들은 그들의 광고 기능을 그대로 보유한 채, 프리미엄 모바일 서비스 구독에 필요한 요소들을 요청한다. 그리고 사용자가 눈치채지 못하게 프리미엄 서비스를 구독을 확인하는 verification code를 가로채 승인하게 만든다. 이러한 방식으로 최대 5개의 서비스에 가입할 수 있다고 한다.
악성 앱들은 가상 키보드, 카메라, 런쳐, 온라인 메신저, 게임 등의 형태로 다양하게 분포한다. 그 앱들중 대부분은 하나의 개발사(Shanxi Kuailaipai Network Technology Co., Ltd.)에 의해 개발된 것이었다. 연구원들이 찾았던 10개의 앱을 다운로드 받은 사용자는 538000명이 넘는다고 Docker Web은 보고했다. Doctor Web은 화웨이사에 악성 앱 리스트를 전달했으며, 화웨이사는 새로운 사용자가 다운로드 하지 못하도록 조치했다. 악성 앱리스트는 [그림 2]와 같다.
[그림 2. Joker 악성 앱 리스트]
Joker 악성코드는 과거 2017년도부터 활동을 시작했다. 이 악성코드가 삽입된 앱들은 구글의 앱스토어에서 배포되기 시작했다. 그러던 2019년 10월 카스퍼스키의 안드로이드 악성코드 분석 전문가인 Tatyana Shishkova가 자신의 트윗에 구글 앱 스토어에 배포 중인 70개의 Joker 악성 앱 리스트를 공개했다. 구글은 2017년부터 Joker에 감염된 1700개 앱들을 삭제해왔지만 지난 2월 Joker 악성 앱은 여전히 구글 앱 스토어에 올라왔다.
출처 https://www.bleepingcomputer.com/news/security/joker-malware-infects-over-500-000-huawei-android-devices/ https://medium.com/csis-techblog/analysis-of-joker-a-spy-premium-subscription-bot-on-googleplay-9ad24f044451 |
