<p>Google Play는 수년간 고급 Android 악성 코드를 전파 해 왔습니다.</p><p>연구원들은 화요일에 여러 민감한 데이터를 훔칠 수있는 비정상적인 고급 백도어를 배포하기 위해 수년간 구글 플레이 를 사용해 왔다고 연구원들은 밝혔다.</p><p>카스퍼 스키 랩 관계자는 보안 회사 카스퍼 스키 랩 (Kaspersky Lab)의 연구원들이 2018 년 이전의 구글 플레이 (Google Play) 앱을 8 개 이상 복구했다고 밝혔지만, 아카이브 검색 및 기타 방법을 바탕으로 동일한 고급 그룹의 악성 앱이 구글의 공식 시장을 파종했다고 믿고있다 2016 년 이상</p><p>카스퍼 스키 (Kaspersky)의 연구원들과 이전의 보안 회사 인 웹 박사 (Dr. Web)가보고 한 직후 구글은 최신 버전의 악성 코드를 제거했다. 이전의 앱은 이미 제거되었으며 이동의 원인이 무엇인지 명확하지 않습니다. 타사 시장도 백도어 응용 프로그램을 호스팅했으며 많은 응용 프로그램을 계속 사용할 수 있습니다.</p><p>명령 및 제어 도메인은 2015 년 초에 등록되어 작업이 2016 년 이전으로 되돌아 갈 가능성을 높였습니다. 멀웨어 및 명령 서버의 코드는 OceanLotus (일명 APT32, APT- C-00 및 SeaLotus), 연구자들은 앱이 해당 고급 그룹의 작업이라고 믿습니다.</p><p>Google 보안 검사를 반복적으로 우회<br>캠페인의 배후에있는 공격자는 몇 가지 효과적인 기술을 사용하여 Google이 악성 앱을 Play에서 제외시키는 데 사용하는 심사 프로세스를 반복적으로 우회했습니다. 한 가지 방법은 처음에 양성 버전의 앱을 제출하고 앱이 승인 된 후에 만 ​​백도어를 추가하는 것입니다. 또 다른 방법은 설치 중에 사용 권한이 거의 없거나 전혀 필요하지 않으며 나중에 실행 파일 내에 숨겨진 코드를 사용하여 동적으로 요청하는 것입니다. 최신 앱 중 하나가 브라우저 클리너로 제공되었습니다.</p><p>시간이지나면서 앱은 하드웨어 모델, 실행 한 Android 버전 및 설치된 앱을 포함하여 감염된 전화에 대한 데이터를 수집하는 백도어를 제공했습니다. 이러한 정보를 바탕으로 공격자는 악성 앱을 사용하여 감염된 특정 장치에 특정한 악성 페이로드를 다운로드하고 실행할 수 있습니다. 페이로드는 위치, 통화 기록, 연락처, 문자 메시지 및 기타 민감한 정보를 수집 할 수 있습니다.</p><p>공격자는 페이로드를 사용자 정의하고 불필요한 구성 요소가있는 장치를로드하지 않음으로써 탐지를 피할 수있었습니다. 뒤틀린 앱은 다운로드 한 APK 자체에 악성 페이로드를 포함 시켰습니다.</p><p>"모든 버전 기동하는 이유에 대한 우리의 주요 이론은 공격자가 공식 Google 시장 필터를 우회하기 위해, 자신의 핵심 목표를 달성하기 위해 다양한 기술을 사용하려고하는 것"카스퍼 스키 랩 연구원 알렉세이 Firsh와 레프 Pikman는 쓴 후 . "이 버전도 Google의 필터를 통과하고 2019 년 Google Play Store에 업로드되었으므로 달성했습니다."</p><p>구글 관계자는 악의적 인 앱이 앱 검증 프로세스를 우회하는 데 사용되는 설명 된 기술을 사용하지 못하도록 회사가 어떻게 또는 어떻게 노력하고 있는지 밝히기를 거부했다. 그 대신 공무원은“우리는 항상 탐지 기능을 개선하기 위해 노력하고 있습니다. 연구 결과를 우리와 공유 한 연구원들의 노력에 감사드립니다. 그 후 우리는 그들이 식별 한 모든 앱에 대해 조치를 취했습니다.”</p><p>PhantomLance를 입력하십시오<br>대부분의 앱에는 전화를 루팅해야하는 기능이 포함되어 있습니다. 그러기 위해서는 루팅 취약점이 알려진 기기에서 앱을 실행하거나 공격자가 아직 Google이나 일반 대중에게 알려지지 않은 결함을 악용해야합니다. 카스퍼 스키 랩 연구원은 앱 자체에서 로컬 권한 에스컬레이션 익스플로잇을 찾지 못했지만 그러한 공격이 사용될 가능성을 배제하지 않았습니다. 이메일에서 연구원은 다음과 같이 썼습니다.</p><p>그러나이 질문에 부분적으로 응답 할 수있는 중요한 기능이 있습니다. 맬웨어는 c2 서버에서 추가 페이로드를 다운로드하여 실행할 수 있습니다. 따라서 다음 시나리오가 가능합니다. 처음에는 OS 버전, 설치된 앱 목록 등과 같은 일종의 장치 정보를 훔칠 수 있습니다. 그런 다음이 초기 정보를 기반으로이 특정 감염된 장치가 유출하기에 매력적이라면 공격자는 안드로이드 버전에 적합한 특정 페이로드 (예 : LPE 익스플로잇) 이러한 페이로드를 얻을 수 없었습니다. 내가 언급했듯이,이 사람들은 OPSEC에 능숙하므로이 페이로드가 정확히 어떻게 보이는지 확인할 수 없습니다.</p><p>앱의 정교함을 입증하는 또 다른 참신함 : 루트 권한에 액세스 할 수있는 경우 맬웨어는 "setUidMode"라는 문서화되지 않은 프로그래밍 인터페이스에 대한 리플렉션 호출 을 사용하여 사용자의 개입없이 권한을 얻습니다. Kaspersky Lab에서 식별 한 앱은 다음과 같습니다.</p><p>패키지 이름 Google Play 지속성 날짜 (최소한)<br>com.zimice.browserturbo 2019-11-06<br>com.physlane.opengl 2019-07-10<br>com.unianin.adsskipper 2018-12-26<br>com.codedexon.prayerbook 2018-08-20<br>com.luxury.BeerAddress 2018-08-20<br>com.luxury.BiFinBall 2018-08-20<br>com.zonjob.browsercleaner 2018-08-20<br>com.linevialab.ffont 2018-08-20<br>카스퍼 스키 랩 연구원들은 판토 mLance라는 캠페인을 불렀습니다. 앞서 언급 한 중복을 바탕으로 연구원들은 수년 동안 일련의 공격이 OceanLotus의 작업이라는 확신을 가지고 있습니다. 연구원들은이 단체가 주로 아시아 정부, 반체제 인사 및 언론인을 공격하고 베트남의 이익에 부정적인 영향을 미치는 목표에 중점을두고 있다고 말합니다. 앱 이름 및 기타 문자열은 베트남어로 작성됩니다.</p><p>부유 한 정부와 관련된 고급 해커가 Play를 사용하여 맬웨어를 확산시킨 것은 이번이 처음이 아닙니다. 올해 초, 연구원들은 2012 년부터 군사 단체를 대상으로하는 악성 해킹 그룹의 코드 이름 인 SideWinder 에서 개발 한 Google Play 앱을 발견 했습니다. 2019 년 이집트는 공식 Google 마켓을 사용하여 시민 을 감염 시켰습니다 .<br>매우 좁은 범위의 인구 통계를 벗어난 사람들이이 그룹에 감염되었을 가능성은 거의 없습니다. 확인을 원하는 사용자는 여기 에있는 이전에 언급 한 게시물에서 손상된 앱의 지표를 찾을 수 있습니다 .</p><p><br></p><p><br></p>
<!-- -->
