Google Play는 수년간 고급 Android 악성 코드를 전파 해 왔습니다.
연구원들은 화요일에 여러 민감한 데이터를 훔칠 수있는 비정상적인 고급 백도어를 배포하기 위해 수년간 구글 플레이 를 사용해 왔다고 연구원들은 밝혔다.
카스퍼 스키 랩 관계자는 보안 회사 카스퍼 스키 랩 (Kaspersky Lab)의 연구원들이 2018 년 이전의 구글 플레이 (Google Play) 앱을 8 개 이상 복구했다고 밝혔지만, 아카이브 검색 및 기타 방법을 바탕으로 동일한 고급 그룹의 악성 앱이 구글의 공식 시장을 파종했다고 믿고있다 2016 년 이상
카스퍼 스키 (Kaspersky)의 연구원들과 이전의 보안 회사 인 웹 박사 (Dr. Web)가보고 한 직후 구글은 최신 버전의 악성 코드를 제거했다. 이전의 앱은 이미 제거되었으며 이동의 원인이 무엇인지 명확하지 않습니다. 타사 시장도 백도어 응용 프로그램을 호스팅했으며 많은 응용 프로그램을 계속 사용할 수 있습니다.
명령 및 제어 도메인은 2015 년 초에 등록되어 작업이 2016 년 이전으로 되돌아 갈 가능성을 높였습니다. 멀웨어 및 명령 서버의 코드는 OceanLotus (일명 APT32, APT- C-00 및 SeaLotus), 연구자들은 앱이 해당 고급 그룹의 작업이라고 믿습니다.
Google 보안 검사를 반복적으로 우회
캠페인의 배후에있는 공격자는 몇 가지 효과적인 기술을 사용하여 Google이 악성 앱을 Play에서 제외시키는 데 사용하는 심사 프로세스를 반복적으로 우회했습니다. 한 가지 방법은 처음에 양성 버전의 앱을 제출하고 앱이 승인 된 후에 만 백도어를 추가하는 것입니다. 또 다른 방법은 설치 중에 사용 권한이 거의 없거나 전혀 필요하지 않으며 나중에 실행 파일 내에 숨겨진 코드를 사용하여 동적으로 요청하는 것입니다. 최신 앱 중 하나가 브라우저 클리너로 제공되었습니다.
시간이지나면서 앱은 하드웨어 모델, 실행 한 Android 버전 및 설치된 앱을 포함하여 감염된 전화에 대한 데이터를 수집하는 백도어를 제공했습니다. 이러한 정보를 바탕으로 공격자는 악성 앱을 사용하여 감염된 특정 장치에 특정한 악성 페이로드를 다운로드하고 실행할 수 있습니다. 페이로드는 위치, 통화 기록, 연락처, 문자 메시지 및 기타 민감한 정보를 수집 할 수 있습니다.
공격자는 페이로드를 사용자 정의하고 불필요한 구성 요소가있는 장치를로드하지 않음으로써 탐지를 피할 수있었습니다. 뒤틀린 앱은 다운로드 한 APK 자체에 악성 페이로드를 포함 시켰습니다.
"모든 버전 기동하는 이유에 대한 우리의 주요 이론은 공격자가 공식 Google 시장 필터를 우회하기 위해, 자신의 핵심 목표를 달성하기 위해 다양한 기술을 사용하려고하는 것"카스퍼 스키 랩 연구원 알렉세이 Firsh와 레프 Pikman는 쓴 후 . "이 버전도 Google의 필터를 통과하고 2019 년 Google Play Store에 업로드되었으므로 달성했습니다."
구글 관계자는 악의적 인 앱이 앱 검증 프로세스를 우회하는 데 사용되는 설명 된 기술을 사용하지 못하도록 회사가 어떻게 또는 어떻게 노력하고 있는지 밝히기를 거부했다. 그 대신 공무원은“우리는 항상 탐지 기능을 개선하기 위해 노력하고 있습니다. 연구 결과를 우리와 공유 한 연구원들의 노력에 감사드립니다. 그 후 우리는 그들이 식별 한 모든 앱에 대해 조치를 취했습니다.”
PhantomLance를 입력하십시오
대부분의 앱에는 전화를 루팅해야하는 기능이 포함되어 있습니다. 그러기 위해서는 루팅 취약점이 알려진 기기에서 앱을 실행하거나 공격자가 아직 Google이나 일반 대중에게 알려지지 않은 결함을 악용해야합니다. 카스퍼 스키 랩 연구원은 앱 자체에서 로컬 권한 에스컬레이션 익스플로잇을 찾지 못했지만 그러한 공격이 사용될 가능성을 배제하지 않았습니다. 이메일에서 연구원은 다음과 같이 썼습니다.
그러나이 질문에 부분적으로 응답 할 수있는 중요한 기능이 있습니다. 맬웨어는 c2 서버에서 추가 페이로드를 다운로드하여 실행할 수 있습니다. 따라서 다음 시나리오가 가능합니다. 처음에는 OS 버전, 설치된 앱 목록 등과 같은 일종의 장치 정보를 훔칠 수 있습니다. 그런 다음이 초기 정보를 기반으로이 특정 감염된 장치가 유출하기에 매력적이라면 공격자는 안드로이드 버전에 적합한 특정 페이로드 (예 : LPE 익스플로잇) 이러한 페이로드를 얻을 수 없었습니다. 내가 언급했듯이,이 사람들은 OPSEC에 능숙하므로이 페이로드가 정확히 어떻게 보이는지 확인할 수 없습니다.
앱의 정교함을 입증하는 또 다른 참신함 : 루트 권한에 액세스 할 수있는 경우 맬웨어는 "setUidMode"라는 문서화되지 않은 프로그래밍 인터페이스에 대한 리플렉션 호출 을 사용하여 사용자의 개입없이 권한을 얻습니다. Kaspersky Lab에서 식별 한 앱은 다음과 같습니다.
패키지 이름 Google Play 지속성 날짜 (최소한)
com.zimice.browserturbo 2019-11-06
com.physlane.opengl 2019-07-10
com.unianin.adsskipper 2018-12-26
com.codedexon.prayerbook 2018-08-20
com.luxury.BeerAddress 2018-08-20
com.luxury.BiFinBall 2018-08-20
com.zonjob.browsercleaner 2018-08-20
com.linevialab.ffont 2018-08-20
카스퍼 스키 랩 연구원들은 판토 mLance라는 캠페인을 불렀습니다. 앞서 언급 한 중복을 바탕으로 연구원들은 수년 동안 일련의 공격이 OceanLotus의 작업이라는 확신을 가지고 있습니다. 연구원들은이 단체가 주로 아시아 정부, 반체제 인사 및 언론인을 공격하고 베트남의 이익에 부정적인 영향을 미치는 목표에 중점을두고 있다고 말합니다. 앱 이름 및 기타 문자열은 베트남어로 작성됩니다.
부유 한 정부와 관련된 고급 해커가 Play를 사용하여 맬웨어를 확산시킨 것은 이번이 처음이 아닙니다. 올해 초, 연구원들은 2012 년부터 군사 단체를 대상으로하는 악성 해킹 그룹의 코드 이름 인 SideWinder 에서 개발 한 Google Play 앱을 발견 했습니다. 2019 년 이집트는 공식 Google 마켓을 사용하여 시민 을 감염 시켰습니다 .
매우 좁은 범위의 인구 통계를 벗어난 사람들이이 그룹에 감염되었을 가능성은 거의 없습니다. 확인을 원하는 사용자는 여기 에있는 이전에 언급 한 게시물에서 손상된 앱의 지표를 찾을 수 있습니다 .