보안 연구원 체크 포인트 는 현재 전 세계적으로 수백만 대의 Android 스마트폰을 감염시키고 있는 'Judy'라는 새로운 악성코드를 발견했습니다. 그들에 따르면 이것은 이미 약 36.5만 개의 Android 기기를 감염시킨 Google Play 스토어에서 가장 큰 악성코드 캠페인일 수 있습니다.
주디가 뭐야?
목요일 Checkpoint에서 게시한 블로그 게시물에 따르면 Judy는 수익을 얻기 위해 광고에 대한 사기성 클릭을 생성하는 데 사용되는 애드웨어입니다. 영향을 받는 기기에서 잘못된 클릭을 생성하고 거의 41개 앱이 이 악성코드를 유포하고 있습니다.
“주디(Judy)”라는 이름의 악성코드는 한국 회사에서 개발한 41개의 앱에서 발견된 자동 클릭 애드웨어입니다. 멀웨어는 감염된 장치를 사용하여 광고에 대한 사기성 클릭을 대량 생성하여 배후의 가해자에게 수익을 창출합니다.”
얼마나 널리 퍼졌습니까?
Checkpoint의 블로그 포스트에 따르면 이 악성코드는 약 18.5만 장치에 다운로드될 것으로 예상되며 최대 36.5만 장치가 영향을 받을 수 있습니다. 이러한 앱 중 일부는 오랫동안 Google Play 스토어에 있었습니다.
또한 연구원들은 Google Play에서 다른 개발자가 개발한 동일한 멀웨어가 포함된 앱을 몇 개 더 발견했습니다. 연구자들은 한 개발자가 "알고 있든 무의식적으로든" 다른 개발자로부터 코드를 빌렸을 가능성이 있다고 믿고 있지만 두 캠페인 사이의 연관성은 여전히 불분명합니다.
맬웨어는 어떻게 작동합니까?
사기성 앱은 사용자의 기기를 애드웨어 서버에 연결하는 다리 역할을 합니다. 연결이 설정되면 멀웨어는 PC 브라우저로 가장하여 페이지를 열고 클릭을 생성합니다.
"Google Play의 보호 기능인 Bouncer를 우회하기 위해 해커는 피해자의 기기에 연결을 설정하고 앱 스토어에 삽입하기 위한 겉보기에는 무해한 브리지헤드 앱을 만듭니다."
사용자가 악성 앱을 다운로드하면 원격 명령 및 제어 서버에 사용자 장치를 자동으로 등록하고 응답으로 실제 악성 프로세스를 시작하는 JavaScript가 포함된 실제 악성 페이로드를 수신합니다.
“이 악성코드는 숨겨진 웹페이지에서 PC 브라우저를 모방하고 다른 웹사이트로 리디렉션되는 사용자 에이전트를 사용하여 URL을 엽니다. 대상 웹사이트가 실행되면 악성코드는 JavaScript 코드를 사용하여 Google 광고 인프라에서 배너를 찾아 클릭합니다." 연구원들은 말합니다.
광고를 클릭하면 멀웨어 작성자는 불법적인 클릭과 트래픽에 대한 비용을 지불하는 웹사이트 개발자로부터 비용을 받습니다.
주디의 배후는?
“악성 앱은 모두 Google Play에 ENISTUDIO corp로 등록된 Kiniwini라는 한국 회사에서 개발한 것입니다. 이 회사는 Android 및 iOS 플랫폼 모두를 위한 모바일 앱을 개발합니다. 대부분이 순전히 악의적인 행위자들에 의해 개발되기 때문에 모바일 멀웨어 배후의 실제 조직을 찾는 것은 매우 이례적인 일입니다.”
안전한지 확인하는 방법은 무엇입니까?
Check Point에서 이 위협에 대해 Google에 알린 후 Google은 Play 스토어에서 악성 앱을 제거하고 Bouncer 보호를 업데이트했습니다. 하지만 확실한 것은 보안 리서치 회사에서 공개한 악성 앱 목록을 확인하는 것입니다. 장치에 이러한 항목이 설치되어 있으면 즉시 제거하십시오.
이달 초 워너크라이(WannaCry)라는 랜섬웨어가 100개 이상의 국가에서 대혼란을 일으켜 러시아와 영국을 포함한 국가에서 200,000대 이상의 컴퓨터를 공격했습니다. 그리고 이제 이 Judy 악성코드가 Android 스마트폰 세계에 등장했습니다. 멀웨어가 Google Play의 보호도 우회한 것을 보면 사용자는 안전을 위해 공식 앱 스토어에도 의존할 수 없는 것 같습니다.