네크로 트로이 목마
2019년, 사이버 보안 연구원들은 골치 아픈 문제를 발견했습니다. Google Play Store의 합법적인 Android 애플리케이션이 개발자가 광고 수익을 창출하는 데 사용하는 타사 라이브러리에 의해 손상되었습니다. 이러한 수정으로 인해 1억 대의 기기가 공격자가 제어하는 서버에 연결되었고, 그 서버는 숨겨진 페이로드를 배포했습니다.
비슷한 상황이 다시 나타났습니다. 정보 보안 전문가들은 Google Play에서 1,100만 번 다운로드된 두 개의 새로운 애플리케이션이 동일한 맬웨어 패밀리에 감염된 것을 확인했습니다. 광고 기능을 통합하는 데 사용되는 안전하지 않은 소프트웨어 개발 키트가 다시 한 번 비난을 받고 있는 것 같습니다.
목차
SDK란 무엇인가요?
소프트웨어 개발 키트 또는 SDK는 개발자에게 일상적인 작업을 처리하여 애플리케이션 생성 프로세스를 간소화하고 가속화하는 사전 구축된 프레임워크를 제공합니다. 이 경우 광고 표시를 지원하도록 설계된 것처럼 보이는 검증되지 않은 SDK 모듈이 애플리케이션에 통합되었습니다. 그러나 표면 아래에서는 손상된 서버와 은밀하게 통신하는 고급 방법을 가능하게 했습니다. 이를 통해 애플리케이션은 사용자 데이터를 업로드하고 언제든지 실행되거나 업데이트될 수 있는 유해한 코드를 다운로드할 수 있었습니다.
네크로 트로이 목마는 어떻게 기기를 감염시키는가?
두 캠페인의 배후에 있는 맬웨어 패밀리는 Necro라고 하며, 이 경우 일부 변종은 모바일 위협에서 보기 드문 난독화 방법인 스테가노그래피와 같은 고급 기술을 사용합니다. 특정 변종은 또한 정교한 방법을 사용하여 시스템 권한을 상승시켜 작동할 수 있는 사기성 코드를 전달합니다. 장치가 감염되면 공격자가 제어하는 명령 및 제어 서버와 통신합니다. 손상된 장치와 사기성 모듈을 호스팅하는 애플리케이션에 대한 세부 정보를 보고하는 암호화된 JSON 데이터를 보냅니다.
그런 다음 서버는 PNG 이미지에 대한 링크와 이미지 해시를 포함하는 메타데이터를 포함하는 JSON 메시지로 응답합니다. 감염된 장치의 모듈이 해시를 확인하면 이미지를 다운로드합니다.
연구자들은 SDK 모듈이 간단한 스테가노그래피 알고리즘을 사용한다고 설명했습니다. MD5 검사를 통과하면 표준 Android 도구를 사용하여 PNG 파일의 내용, 특히 ARGB 채널의 픽셀 값을 추출합니다. getPixel 메서드는 최하위 바이트에 이미지의 파란색 채널이 포함된 값을 검색하고, 맬웨어는 거기에서 처리를 시작합니다.
네크로 트로이 목마는 심각한 결과를 초래할 수 있습니다
맬웨어가 설치한 후속 페이로드는 감염된 각 기기에 맞게 사용자 정의하여 다양한 동작을 수행할 수 있는 사기성 플러그인을 다운로드합니다. 이러한 플러그인 중 하나는 코드가 상승된 시스템 권한으로 실행되도록 합니다. 일반적으로 Android는 권한이 있는 프로세스가 애플리케이션 내에서 웹 페이지를 표시하는 구성 요소인 WebView를 사용하는 것을 제한합니다. 이러한 제한을 극복하기 위해 Necro는 반사 공격이라고 알려진 기술을 사용하여 WebView 팩토리의 별도 발생을 만듭니다.
또한 이 플러그인은 WebView를 통해 표시된 링크를 수정하는 다른 파일을 다운로드하고 실행할 수 있습니다. 시스템 권한이 상승하면 이러한 실행 파일은 유료 구독에 대한 확인 코드를 삽입하고 공격자가 제어하는 링크에서 코드를 다운로드하고 실행하기 위해 URL을 변경할 수 있습니다. 연구원들은 Necro를 분석하는 동안 다섯 가지 고유한 페이로드를 식별했습니다. 또한 Necro의 모듈형 구조는 맬웨어가 작동하는 수많은 방법을 제공합니다.
네크로 트로이 목마는 두 가지 응용 프로그램에서 발견되었습니다.
연구자들은 Google Play의 두 애플리케이션에서 Necro를 확인했습니다. 그 중 하나인 Wuta Camera는 1,000만 건의 다운로드를 기록했습니다. Wuta Camera의 버전 6.3.2.148~6.3.6.148에는 감염을 담당하는 악성 SDK가 포함되어 있었지만, 이후 애플리케이션이 업데이트되어 유해한 구성 요소가 제거되었습니다. 약 100만 건의 다운로드를 기록한 또 다른 애플리케이션인 Max Browser도 손상되었지만, 더 이상 Google Play에서 사용할 수 없습니다.
또한 연구원들은 Necro가 대체 시장에서 제공되는 다양한 Android 애플리케이션을 감염시키는 것을 발견했습니다. 이러한 애플리케이션은 일반적으로 Spotify, Minecraft, WhatsApp, Stumble Guys, Car Parking Multiplayer 및 Melon Sandbox를 포함하여 합법적인 애플리케이션의 수정된 버전으로 제공됩니다.
