보안정보

igexin

구글 PlayStore를 통해 유포 되어 1억명이 감염된 500개 스파이앱

침해사고분석팀 2017.08.31

 

 

구글 안드로이드 플레이스토어에서 1 억 회 이상 다운로드 된 500 가지 이상의 어플리케이션이 스파이웨어를 설치하는 악성 광고 라이브러리에 감염된 것으로 확인됐다.
해당 어플리케이션들은 중국의 lgexin사 AD SDK를 이용해 개발되었다. 개발자들은 광고수익을 위해 해당 SDK를 사용하였고, 그로 인해 다수의 어플리케이션에 사용되어졌다.

현재는 구글플레이 프로텍션에서 해당 SDK를 사용하는 어플리케이션을 차단 및 삭제했다.
감염된 어플리케이션은 소비자 맞춤형 광고를 위한 통화 데이터, 사용자위치 정보,전화번호등의 개인정보를 무단으로 중국 lgexin 본사에 전송한다.

 

 

결정적인 취약점으로 자체 플러그인 다운로드 기능을 보유해 lgexin 본사로부터 임의의 파일을 다운받아 사용자 단말기에 설치하고 있다.
이로 인해 악성파일 및 스파이웨어,애드웨어등의 위험에 사용자가 언제든지 노출될수 있다.

 

 

► Sniper 제품군 대응 현황

Sniper-IPS

[3656] Android/Spyware.igexin.1402094

Sniper-UTM

[838861236] Android/Spyware.igexin.1402094

Sniper-APTX

[2846] Android/Spyware.igexin.1402094

 

 

► 취약시스템

Android All Systems

 

 

► 위험도

 

 

► 공격영향

정보유출
임의코드실행

 

 

► 해결방안

1. Google Play Protect를 이용해 치료한다.
2. 바이러스 백신 애플리케이션을 설치하고 최신데이타베이스를 유지한다.
3. 개발사가 아닌 곳에서의 앱을 다운로드 하지 않는다.
4. 어플리케이션/OS의 보안업데이트를 최신으로 유지한다.

 
목록