스파이가 Google Play 스토어에 악성 코드를 몰아 넣는 방법
소위 PhantomLance 캠페인의 악성 Android 앱은 수백 명의 사용자를 대상으로했으며 Google의 방어선을 뛰어 넘어 최소 2 명은 미끄러졌습니다.
Android 앱용 GOOGLE PLAY 스토어 는 맬웨어로부터 가장 엄격하게 보호되는 것으로 유명합니다. 그늘진 애드웨어 및 뱅킹 트로이 목마는 Google의 보안 검사 를 반복적으로 무시 하기 위해 수년 동안 관리해 왔습니다 . 이제 보안 연구원들은 좀 더 드문 형태의 Android 남용 인 것으로 나타났습니다. 대상이 된 해킹 도구를 Play 스토어와 피해자의 전화에 반복적으로 삽입 한 국가 후원 스파이.
러시아 보안 회사 카스퍼 스키 (Kaspersky)의 연구원들은 연례 Security Analyst Summit의 원격 가상 버전에서 오늘 PhantomLance라고 불리는 해킹 캠페인에 대한 연구를 발표 할 계획입니다. 및 인도. 카스퍼 스키의 연구원들은 Play 스토어 악성 코드에서 발견되는 대부분의 그늘진 앱과 달리 PhantomLance의 해커는 수백 명의 사용자를 감염시키기 위해 데이터 스털링 앱을 밀수입 한 것으로 보입니다. 스파이 캠페인은 피싱 이메일을 통해 악성 앱에 대한 링크를 해당 대상으로 보냈습니다. 카스퍼 스키의 연구원 알렉세이 퍼쉬 (Alexey Firsh)는“이 경우 공격자들은 구글 플레이를 신뢰할 수있는 출처로 사용했다. "이 앱에 대한 링크를 제공 할 수 있으며 피해자는 Google Play이기 때문에이 앱을 신뢰하게됩니다."
카스퍼 스키 장관은 APT32로 알려진 해커 그룹 OceanLotus와 PhantomLance 캠페인을 베트남 정부를 위해 일하고 있다고 널리 전했다 . 이는 판토 mLance 캠페인이 베트남의 동남아시아 이웃에 대한 감시와 베트남 시민의 감시를 혼합 한 것으로 보인다. 예를 들어, 보안 회사 인 FireEye는 OceanLotus를 베트남 반체제 및 블로거 를 대상 으로 한 이전 운영에 연결했습니다 . FireEye는 최근 중국 긴급 관리부와 중국 우한 정부를 대상으로 Covid-19 관련 정보를 찾은 그룹을 발견했습니다.
Google Play에 초점을 둔 PhantomLance 캠페인의 첫 번째 힌트는 작년 7 월에 밝혀졌습니다. 그때 러시아 보안 회사 인 Dr. Web이 Google 앱 스토어에서 스파이웨어 샘플을 발견했습니다.그래픽 디자인 소프트웨어 다운로더로 가장했지만 실제로는 안드로이드 폰의 연락처, 통화 기록 및 문자 메시지를 훔칠 수 있습니다. 카스퍼 스키의 연구원들은 비슷한 스파이웨어 앱을 발견했는데, 그 해 11 월에도 구글 플레이에서 여전히 활발한 브라우저 캐시 청소 도구 인 브라우저 터보를 가장했습니다. (Google은보고 된 후 Google Play에서 악성 앱 2 개를 모두 제거했습니다.) 이러한 앱의 스파이 기능은 상당히 기본적이지만 두 앱 모두 확장 될 수 있다고 말합니다. "중요한 것은 새로운 악성 페이로드를 다운로드하는 기능입니다." "기능을 크게 확장 할 수 있습니다."
카스퍼 스키는 2015 년에 Google이 이미 Play 스토어에서 제거했지만 앱 리포지토리의 보관 된 미러에서 여전히 볼 수있는 유사한 스파이웨어 앱 수십 개를 계속해서 찾았습니다. 이 앱은 베트남에 초점을 맞추고 베트남의 인근 교회와 베트남어 뉴스를 찾는 도구를 제공하는 것으로 보입니다. Firsh에 따르면 해커들은 스푸핑 된 개발자를 위해 새로운 계정과 Github 저장소를 만들어 합법적 인 것처럼 보이게하고 트랙을 숨겼습니다. Firsh는 Kaspersky의 안티 바이러스 소프트웨어는 약 300 개의 고객 전화를 감염시키려는 악성 앱을 탐지했다고 말합니다.
대부분의 경우 이전 앱은 Google Play에 남아 있던 앱보다 의도를 숨겼습니다. 설치시 "정리"되도록 설계되었으며 나중에 업데이트에 모든 악성 기능을 추가합니다. Firsh는 "우리는 이것이이 사람들의 주요 전략이라고 생각한다"고 말했다. 경우에 따라 이러한 악의적 인 페이로드는 "루트"권한을 사용하여 Android의 권한 시스템을 재정의 할 수있게했으며,이를 통해 앱은 연락처 및 문자 메시지와 같은 데이터에 액세스하기 전에 사용자의 동의를 요청해야합니다. 카스퍼 스키는 앱이 안드로이드 운영 체제를 해킹하고 해당 권한을 얻는 데 사용할 실제 코드를 찾을 수 없다고 말합니다.
WIRED가 Google에 의견을 물었을 때, 회사는 "우리는 연구 결과를 우리와 공유 해준 연구원들의 노력에 감사드립니다. 우리는 그들이 찾은 모든 앱에 대해 조치를 취했습니다."라고 말했습니다.
카스퍼 스키가 PhantomLance 앱을 식별 한 후에는 연구원들이 2013 년부터 활성화 된 OceanLotus가 사용하는 오래된 악성 코드와 코드를 일치시킬 수있었습니다.이 앱은 베트남 보안 회사 인 Antiy Labs가 비공식 베트남어에서 발견 한 Android 악성 코드와 특성을 공유했습니다. 예를 들어 2014 년에 앱 스토어와 스파이웨어의 명령 및 제어 도메인이 보안 회사 인 Trend Micro, ESET 및 Palo Alto Networks에 의해 이전에 식별 된 데스크탑 대상 OceanLotus 맬웨어와 겹쳤습니다.
PhantomLance는 스파이 도구를 배포하기 위해 Google Play를 학대하는 국가 후원 해커의 첫 번째 사례는 아닙니다. 비영리 보안 국경없는 보안 부서 는 작년 한 해킹 계약자가 이탈리아 정부를 대신하여 Google Play에서 Android 스파이 도구를 숨기고 있음을 발견했습니다 . 그리고 지난 11 월, 구글은 악명 러시아어 해커 그룹 Sandworm 늦은 2017 년 한 것으로 나타났습니다 우크라이나 인과 한국인 대상으로 구글 플레이에 악성 코드를 몰래 여러 조각 러시아의 한 부분으로 아마 후자 년 - 파괴 작업 평창에서 2018 년 올림픽에 초점을 맞추고 .
그러나 카스퍼 스키의 커트 바움가트너 (Kurt Baumgartner)는 구글이 구글 플레이에서 OceanLotus의 스파이웨어를 상당 부분 제거한 후에도 악성 앱을 감지하지 못했음을 보여주기 때문에 판토 mLance 작업은 특히 혼란스러워하고있다. Baumgartner는 "이 그룹이 Google Play에서 활성화 된 것으로보고 된 후에도 2019 년 말에 여전히 유효한 변종을 호스팅하고 있습니다."라고 Baumgartner는 말합니다. "나에게 이것은 벽으로 둘러싸인 정원 접근 방식과 벽으로 둘러싸인 정원에 대한 자신감이 어떻게 흔들리는 지에 대해 말해줍니다."