안드로이드용 가짜 슈퍼마리오 앱 관련 이슈
2017. 1. 31. 16:15
얼마전 Nintendo는 슈퍼마리오 Run 모바일 게임을 출시 했습니다.
하지만 iOS 기기용으로만 출시하고, 안드로이드용으로 출시는 하지 않았습니다.
사이버 범죄자는 악성 소프트웨어를 슈퍼마리오를 즐기고 싶어하는 다수의 게이머에게 전염시키기 위해
이 기능을 이용하고 있는데, 작년에 인기를 끌었던 Pokemon GO 어플리케이션에서도
모바일 게임의 iOS버전이 출시된 후 일주일만에 백도어가 등장했습니다.
이번 포스팅은 안드로이드용 슈퍼마리오 가짜 앱에 관한 이슈입니다.
슈퍼마리오 Run은 출시일인 2016 년 12월 15일에 Apple기기에서 285만번 다운로드 되며
놀라운 인기를 얻었습니다.
사용자 기반을 지속적으로 늘리면서 출시 이후 인기가 높아지고 있습니다.
안드로이드 기기용 마리오의 사용 가능성에 대한 구체적인 언급은 아직 없지만,
마리오를 즐기고 싶어하는 게이머들의 안드로이드용 마리오 Run에 대한 인기는 식을줄 몰랐습니다.
공격자는 이 인기에 주목하여 마리오 Run으로 위장한 악성 콘텐츠를 숨긴 가짜 앱을 만들었습니다.
이 앱은 앱 스토어에서 다음과 같이 다운로드 할 수 있습니다.
Google Play에서 이 앱의 공식 자리 표시자는 사전 등록만 가능하다고 합니다.(2017년 1월 15일 기준).
보안 연구팀은 슈퍼마리오 Run이 악의적인 응용 프로그램을 전파하는 매체로 사용되는 경우는 거의 없었지만
몇몇 블로그는 이러한 사례를 강조합니다.
- DroidJack이 내장 된 마리오 Run
Droidjack이 앱의 일부로 포함 된 경우가 두 번 있었습니다.
Droidjack은 많은 기능을 갖춘 안드로이드 원격 관리 도구 (RAT)입니다.
그 중 일부의 기능은 아래와 같습니다.
- 통화 기록 읽기 및 삭제
- 전화 걸기
- SMS 메시지 읽기, 쓰기 및 삭제
- 연락처 읽기, 만들기 및 삭제
- 전면 / 후면 카메라에서 사진 찍기
- 전면 / 후면 카메라의 비디오 녹화
아래 사진은 APK의 DroidJack 코드입니다.
- 마리오 Run 뒤에 숨어있는 Marcher 뱅킹 멀웨어
Marcher는 안드로이드를 위한 알려진 금융 악성 코드로, 장치를 감염시킨 후 사용자로부터 민감한 은행 및 신용 카드 정보를 훔치려고 합니다.
마리오의 Marcher 변종은 별다른 차이가 없으며 전화로 뱅킹 앱을 거의 사용하지 않으며, 해당 앱이 기기에서 실행될 때 맞춤 화면을 표시합니다.
이 사용자 정의 화면은 사용자의 데이터를 받아 들여 직접 공격자에게 전송하지만
사용자는 이 데이터를 합법적인 은행 응용 프로그램으로 전달했다고 생각합니다.
아래는 몇 가지 은행 업무 응용 프로그램입니다.
-Barclays Zambia - com.barclays.android.barclaysmobilebanking
-HSBC 모바일 뱅킹 - com.htsu.hsbcpersonalbanking
-Santander 영국 개인 금융 - uk.co.tsb.mobilebank
-Lloyds Bank 모바일 뱅킹 - com.grppl.android.shell.CMBlloydsTSB73
-스코틀랜드 은행 모바일 뱅크 - com.grppl.android.shell.BOS
Google Play 앱을 열면 신용 카드 정보를 수락하는 맞춤 화면이 표시됩니다.
또 이 멀웨어는 장치에서 보안 검사를 수행하는 몇 가지 응용 프로그램의 존재 여부를
확인하고 해당 응용 프로그램을 찾지 못하게 합니다.
타겟팅 되는 앱은 거의 없으며 전체 목록은 부록에서 확인할 수 있습니다.
-DU 안티 바이러스 - com.duapps.antivirus
-Eset 모바일 보안 및 안티 바이러스 - com.eset.ems.gp
-안드로이드를위한 AVG AntiVirus 무료 - avg.antivirus
-360 Security Lite 속도 향상 - com.qihoo.security.lite
-IKARUS mobile.security - com.ikarus.mobile.
마리오 Run을 탑재 한 애드웨어 설치 프로그램
안드로이드의 애드웨어가 마리오의 인기를 얻으려고 시도하는 것을 발견하는 것은 놀라운 일이 아닙니다.
마리오 Run을 가상으로 사용하는 애드웨어 설치 프로그램을 사용했습니다.
설치시 이 애드웨어는 보조 애드웨어 응용 프로그램 다운로드를 시작하고 아래와 같이 장치에 저장합니다.
또한 애드웨어 앱을 홍보하는 광고 장치에 오버레이를 표시합니다.
애드웨어에는 IMEI 번호와 같은 기기에 대한 중요한 세부 정보를 캡처 할 수 있는 기능이 있습니다.
이러한 멀웨어의 피해자가 되지않도록 하기 위해서는 몇가지 방법이 있습니다.
- Google Play같은 신뢰할 수 있는 앱 스토어에서만 앱을 다운로드 하는것이 좋습니다.
- 모바일 보안설정에서 알 수 없는 출처 옵션의 선택을 하지않습니다.
- 공식적으로 출시되지 않은 앱에 대해선 가급적 다운받지 않습니다.
이번 포스팅은 안드로이드용 슈퍼마리오 Run에 대한 포스팅 이었습니다.
사람들의 흥미를 이용하는 공격자들에게서 피해를 줄이기위해
보안에 대한 경각심을 가져야 할 것 같습니다.
다음에도 유익한 정보 올릴 수 있도록 하겠습니다.
감사합니다.
