보안정보

 

개요
Google Play에서 수백만 번 다운로드 한 800 개 이상의 응용 프로그램을 광고 라이브러리 SDK에 포함된 애드웨어이다.
현재는 Google Play 애드워드가 포함된 앱은 전부 삭제되었다.
설치하게 될 경우 특정 서버에서 추가적인 파일을 다운로드 한 후 다수의 정보를 수집하여 C&C 서버로 암호화 하여 전송한다.
수집 정보 내역
- SIM 카드 국가, 모델, OS 버전, 장치이름, 설치된 앱, 이메일 주소 등 다수의 정보

 

확인 내역
Xavier의 첫 번째 버전은 APK 설치 및 루트 검사를 제거했지만 TEA 알고리즘으로 데이터 암호화를 추가하였다.

 

[그림1. 데이터 암호화 내역, 출처:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/]

 

실행되게 되면, 암호화 된 C&C 서버 hxxps://api-restlet.com/services/v5/ 및 에서 초기 구성을 가져온다.
초기 구성을 가져오게 되면 추가적인 파일을 다운로드하게 되는데
hxxp://cloud.api-restlet.com/modules/lib.zip 을 받은 후에 해당 파일에 APK 파일 형식인 0x50,0x4b (PK)를 추가한다.

 

[그림2. 파일 다운로드 요청 내역]

 

[그림3. 파일 내역]

 

해당 파일을 확인해보면 classes.dex 파일이 있는것을 확인 할 수 있다.

해당 dex 파일을 통해 기기 정보를 수집한 후에 암호화하여 C&C 서버로 전송한다.

 

[그림4. 수집 내역, 출처:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/]

대응 방안
1) 정상앱에 포함되어 있는 형태의 경우 사용자가 대응하기는 힘드나, 최신버전의 앱을 사용하면 어느정도 대응이 가능하다.

 

2) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

 

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

출처
http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/
https://documents.trendmicro.com/assets/appendix--analyzing-xavier-an-information-stealing-ad-library-on-android.pdf