게임 가이드를 통해 확산되는 Android botnet 관련 이슈

Android 악성 프로그램 제작자는 피해자의 모바일 장치가 감염되면 악성 코드와 통신 할 수 있는
새로운 방법을 끊임없이 가져옵니다.
감염 경로에 감염된 장치로 메시지를 보내는 새로운 방법으로 사람들이 사용하는 게임 가이드를 통해
확산되고있는 대부분의 앱은 게임에서 수행 할 작업 / 목표에 대한 연습을 제공하는 앱인 게임 가이드 앱을 통해 확산됩니다.

 

이 캠페인은 FalseGuide라고 하는데, 오늘은 게임 가이드를 통해 확산되는 Android botnet 관련 이슈에 대해 포스팅 하겠습니다.

 

감염 경로 :

 

이 캠페인에 속한 대부분의 샘플은 여러가지 권한을 요청하지만, 이 캠페인에 대한 주요 권한은 다음과 같습니다.

 

- 부팅 완료
- com.google.android.c2dm.permission.receive
- C2D 메시지
- 메시지 수신

 

설치 시 멀웨어는 장치 관리자 권한을 요청합니다.
앱의 대부분의 경우 특정 게임의 가이드가 되기 위해 알리는 메시지인데, 관리자 권한이 필요 없는 가이드가

있어야 합니다.

 

관리자 권한을 받음으로써 사용자가 앱을 제거하기 어렵게 만듭니다.
앱을 열면 관련 콘텐츠가 표시되지만, 백그라운드에서 앱은 Firebase Cloud Messaging(FCM) 이벤트를 통해 수신된 메시지를 수신하는 여러 가지 서비스 및 브로드 캐스트 리시버를 등록하고 시작합니다.

 

 

Firebase를 통한 메시징

 

Firebase Cloud Messaging은 서버 어플리케이션과 모바일 클라이언트 어플리케이션 간의 메시지 전송을 처리하는 서비스 입니다.
모바일 클라이언트 앱은 본질적으로 장치(감염된 장치)에서 실행되는 FCM 사용앱 입니다.
FCM은 앱 개발자와 사용자 간의 참여를 돕기 위해 개발되었으므로, 개발자는 앱을 사용하여 알림 및 메시지를

일련의 사용자에게 쉽게 푸시 할 수 있습니다.
그 외에도 FCM은 분석 데이터를 얻는 방법으로 앱을 개선하는 데 사용할 수 있습니다.

 

대부분의 샘플은 Firebase를 구성 요소로 사용하여 감염된 장치를 FCM 클라이언트로 만듭니다.

 

 

FCM을 사용하면 개발자가 특정 주제를 선택한 여러 장치에 메시지를 보낼 수 있습니다. – 자세한 내용은 여기를 참조

 

이 캠페인에 속한 앱에서 각 사용자가 Name에 가입하면 동일한 동작을 보게 됩니다.
아래에 표시된 앱 이름입니다.

 

 

 

앱은 백그라운드 서비스를 통해 FCM에서 오는 모든 메시지를 모니터링 합니다.

 

 

감염된 각 장치는 응용 프로그램 이름으로 서버에 항목을 구독하는 시나리오를 가지고 있습니다.
개발자는 특정 응용 프로그램에 감염된 모든 장치에 메시지를 보내어 구독된 FCM 항목을 통해 통신할 수

있는 감염된 장치의 봇넷을 만들 수 있습니다.
공격자는 이미 장치 관리자 권한이 있는 이 응용프로그램을 악의적인 모듈로 보내 위험한 것으로 만들 수

있습니다.

 

추가 참고사항 :

 

• 일부 앱은 여러 기기에 푸시 알림을 전송할 수 있는 UrbanAirship 플랫폼을 사용합니다.
• 이 캠페인의 앱 중 대부분은 게임 가이드를 모방 하고 있으며 아래에 나열된 앱은 거의 없습니다.
- Asphalt
- Drift Zone
- Injustice Gods
- FIFA Mobile
- LEGO Nexo Knights
- LEGO City My City
- Pokemon GO
- Rolling sky
- Subway Surfers
- Terraria
- World of Tanks

 

• 이 앱에는 악성 콘텐츠가 없으므로 Google Play 스토어에서 Google의 자동 멀웨어 검색 프로그램을 피할 수 있었습니다.
• 보고서에서 이 캠페인의 많은 앱들은 일반 사용자가 Play 스토어에서 다운로드 한 것을 나타냅니다.

 

전반적으로 이 캠페인은 Firebase Cloud Messaging을 통해 특정 주제를 구독하는 장치의 봇넷을

생성합니다.
사용자가 이미 이 캠페인에 속한 샘플을 다운로드했다는 사실은 이 캠페인이 게임 가이드를 숨겨 여러 기기에 성공적으로 침투했다는 것을 보여줍니다.

 

안드로이드는 사용자의 선택에 따라 보안 수준을 선택할 수 있는 iOS보다 훨씬 자유로운 운영체제 입니다.
앱 마켓도 iOS는 하나로 통일되어 있는 반면 안드로이드의 경우 상당히 다양한 마켓이 존재합니다.
이런 이유로 안드로이드는 각종 바이러스와 악성코드가 유포되었으며, 이로 인해 백신이 보급되고 있습니다.

 

이러한 취약점에 대한 방안은 다음과 같습니다.

 

- 기기 관리자 권한을 요청한 게임 가이드를 다운로드 한 경우 기기에서 앱을 삭제하는 것이 좋습니다.
- 앱에 관리자 권한을 부여한다면 한번 더 생각하고 부여합니다.
- 구글스토어 이외에 알 수 없는 출처에서 받은 앱은 설치하지 않고, 수시로 백신 앱을 실행하여 악성코드를 제거하는 것 입니다.

 

오늘은 게임 가이드를 통해 확산되는 Android botnet관련 이슈에 대한 내용으로 포스팅하였습니다.
다음에도 유익한 정보를 올릴 수 있도록 하겠습니다.
감사합니다.