Konfety 모바일 맬웨어
사이버 보안 연구원들이 악명 높은 안드로이드 악성코드인 콘페티(Konfety)의 고급 변종을 발견했습니다. 이 변종은 이제 이블 트윈(Evil Twin) 기법을 활용하여 대규모 광고 사기를 저지르고 있습니다. 이는 모바일 생태계를 노리는 위협이 점점 더 복잡해지고 있음을 보여줍니다.
목차
사악한 쌍둥이 전략 설명
새롭게 관찰된 접근 방식은 동일한 패키지 이름을 공유하는 두 가지 버전의 애플리케이션을 만드는 것입니다. 한 버전은 Google Play 스토어에서 흔히 제공되는 합법적이고 안전한 앱이고, 악성 버전인 '이블 트윈'은 제3자를 통해 배포됩니다. 주목할 점은, 미끼 앱이 공격자 본인이 직접 만든 것이 아니라, 많은 경우 Play 스토어에 이미 등록된 진짜 앱이라는 것입니다. 유일한 조건은 악성 버전이 동일한 패키지 이름을 사용해야 한다는 것인데, 이는 악성 버전의 존재를 위장하는 데 도움이 됩니다.
적응력과 고급 기술
Konfety의 배후에 있는 공격자들은 놀라운 적응력을 보여주며, 타겟 광고 네트워크를 자주 변경하고 탐지를 피하기 위한 기법을 개선해 왔습니다. 최신 변종은 APK의 ZIP 구조를 변조함으로써 이러한 능력을 더욱 강화합니다. 공격자는 조작된 APK를 사용하여 보안 검사를 우회하고 리버스 엔지니어링 작업을 더욱 복잡하게 만듭니다. 그들은 런타임에 주요 Dalvik 실행 파일(DEX) 페이로드를 동적으로 로드하는 동시에, 시스템이 파일이 암호화되었다고 믿도록 하는 특정 ZIP 플래그를 활성화합니다. 이는 검사 중에 잘못된 비밀번호 프롬프트를 생성하여 분석가가 콘텐츠에 접근하는 것을 효과적으로 차단합니다.
압축 트릭과 분석 중단
Konfety는 또 다른 난독화 기법으로 AndroidManifest.xml 파일 내에서 BZIP 압축 방식을 사용한다고 허위로 주장합니다. 이러한 허위 진술은 구문 분석 실패, 특정 분석 도구의 작동 중단, 포렌식 작업 지연을 초래할 수 있습니다. SoumniBot 악성코드에서도 유사한 압축 기반 우회가 발견되었으며, 이는 안드로이드 악성코드 개발의 새로운 트렌드 중 하나임을 시사합니다.
동적 코드 로딩을 통한 은밀성
동적 코드 로딩은 Konfety의 은밀성에 핵심적인 역할을 합니다. 이 맬웨어는 실행 중에 DEX 페이로드를 복호화하여 메모리에 직접 로드하므로 앱 설치 또는 정적 분석 시 발생하는 일반적인 보안 검사를 피할 수 있습니다. 암호화된 자산과 오해의 소지가 있는 매니페스트 항목과 결합된 이러한 계층적 난독화 전략은 Konfety를 탐지 및 리버스 엔지니어링에 대한 뛰어난 복원력을 제공합니다.
악성 기능 및 지오펜싱
이전 버전과 마찬가지로, Konfety는 CaramelAds SDK를 통합하여 광고를 가져오고, 추가 페이로드를 전달하고, 공격자가 제어하는 서버와 통신을 유지합니다. 광고 사기 외에도 사용자를 악성 웹사이트로 리디렉션하고, 원치 않는 앱을 설치하고, 스팸과 유사한 지속적인 브라우저 알림을 푸시할 수 있습니다. Konfety는 은밀성 외에도 앱 아이콘을 숨기고 지오펜싱 전략을 사용하여 피해자의 지리적 위치에 따라 동작을 조정합니다.
요약
Konfety의 진화는 모바일 악성코드의 정교함이 뚜렷하게 향상되었음을 보여줍니다. 고급 APK 변조, 동적 코드 삽입, 그리고 기만적인 구성이 결합된 Konfety는 보안 제어를 우회하고 감염된 기기에서 지속성을 유지하려는 위협 행위자들의 끊임없는 혁신을 보여줍니다.
