본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
플레이 스토어 800여개 앱, ‘Xavier’ 악성코드 내재2017.06.19
개요
  • 트랜드마이크로社의 보안 연구원, 800개 이상의 안드로이드 앱에서 정보탈취용 라이브러리 발견
     
     

주요내용

 

  • 구글 플레이 스토어에서 수백만 건 다운로드된 800개 이상의 안드로이드 앱에서 민감한 정보를 수집하고 기타 악성행위 수행이 가능한 ad 라이브러리가 발견됨
  1. “Xavier”라고 명명된 이 ad 라이브러리는 2016년 9월에 확인되었으며, AdDown 악성코드의 변종임
  2. 90%의 안드로이드 앱이 무료가 된 이후, 광고는 앱 개발자를 위한 주요 수입원이었으며, 보통 앱 기능에 영향을 주지 않도록 안드로이드 SDK Ads 라이브러리를 통합함
  3. 악성 ad 라이브러리는 이미지 편집, 배경화면 및 벨소리 전환, 전화 위치 추적, 램 최적화, 음악·비디오 플레이어 등에 미리 설치되어 옴
  4. Xavier ad 라이브러리의 이전 변종은 목표 디바이스에 다른 앱들을 사용자 모르게 설치하는 애드웨어였지만, 최근에는 악성코드 개발자가 새로운 기능을 추가하여 고도화 됨
  5. 정보탈취용 악성코드 “Xavier”의 특징
    - 탐지 회피 : 정적·동적 분석을 우회하기 위해 에뮬레이터 환경 유무를 점검하고 암호 통신 사용
    - 원격 코드실행 : 명령제어서버(C&C)로부터 코드를 다운로드 하도록 설계되었으며, 공격자는 원격에서 악성코드 실행 가능
    - 정보탈취 모듈 : 사용자의 이메일 주소, 장치 아이디, 모델명, 운영체제, 국가, 제조사, SIM 카드 정보, 해상도, 설치된 앱 등의 정보를 탈취하도록 구성됨
  6. 베트남, 필리핀, 인도네시아 같은 동남아 국가의 사용자들이 가장 많이 감염됨
  7. 구글은 플레이 스토어에서 Xavier에 감염된 안드로이드 앱을 삭제 조치함
     
 

시사점

 

  1. 구글 플레이 스토어 등 공식적인 앱 스토어에서 앱을 다운로드할 때라도 의심이 가는 앱의 설치는 자제하고 신뢰된 브랜드의 앱만 설치 필요


[출처]
1. Beware! Over 800 Android Apps on Google Play Store Contain ‘Xavier’ Malware, 2017.6.13


작성 : 침해사고분석단 종합분석팀
키워드 Xavier , 악성코드 , 플레이스토어