| 요약 | - 데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공 - 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 |
| 내용 | - 보안 업체 맥아피(McAfee)가 발견한 이 멀웨어의 이름은 골도슨(Goldoson) > 엘포인트, 롯데시네마, 곰 등을 감염시킴 > 해당 앱들은 구글 플레이에서는 1억 회 이상, 원스토어에서는 800만 회 이상 다운로드 된 것으로 조사 - 맥아피는 발견 직후 곧바로 구글에 연락을 했고, 구글은 앱 개발사에 연락해 취약점을 제거하라는 요청문 발송 > 일부 앱들은 구글 플레이에서 곧바로 삭제되었으며, 개발사에서 발 빠르게 대처해 취약점이 수정된 경우도 있음 > 맥아피는 문제가 됐던 모든 앱들을 공개하며 사용자들에게 “최대한 빨리 업데이트 하라”고 권고 - 골도슨의 작동 방식 ① 장비를 감염시킨 후 곧바로 공격자들의 C&C 서버에 등록 ② 원격에 저장되어 있는 설정 파일들을 다운로드_화면에서는 앱이 정상적으로 실행 > 라이브러리 이름과 원격 서버 도메인을 매번 바꾸기 때문에 잘 탐지되지 않음 ③ 다운로드한 설정 파일에는 감염시킨 앱의 기능에 적용될 매개변수들이 저장 > 관련된 요소들이 어떤 주기로 실행될 지가 결정 > 원격에서 매개변수 수정 가능 ④ 이 설정 파일들을 바탕으로 주기적으로 장비를 확인하고 정보를 빼돌려 이틀에 한 번꼴로 C2로 전송 > 정보를 수집할 수 있는 건 QUERY_ALL_PACKGES라는 권한 허용 설정 때문 > 설치될 당시 이 권한을 요청하며, 사용자는 통상적으로 권한을 허용 > 사용자의 위치, 스토리지, 카메라, 와이파이, 블루투스 등에 접근 - 골도슨은 사용자 모르게 웹 페이지들을 로딩하는 기능도 있음 > 기능을 활용할 경우 특정 광고의 조회수를 부풀릴 수 있게 되며, 이를 통해 부당한 수익 창출 |
| 기타 | - 서드파티 요소나 오픈소스 요소들을 통한 멀웨어 유포가 얼마나 효과적인지 증명 > 개발자들은 소프트웨어를 만드는 과정에서 서드파티 코드나 라이브러리를 적잖이 사용 > 적절한 검사를 제대로 하지 않고 기능성만 고려하는 경우가 대부분 - 보안 업체 짐페리움(Zimperium)의 부회장 컨 스미스(Kern Smith) > 개발자 편에서의 꼼꼼한 서드파티 요소의 점검을 진행 필요 주장 > 모든 개발자와 개발사들이 보다 투명하게 소프트웨어 구성 요소들을 공개하고 공유 주장 - 골드슨 도메인 및 감염 앱 확인은 아래 보안뉴스 참고 |
보안뉴스
엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼
데이터 탈취와 클릭 사기 기능을 가진 멀웨어가 서드파티 라이브러리를 통해 60개가 넘는 모바일 앱을 감염시키는 데 성공했다. 이 앱들은 구글 플레이 스토어를 통해 1억 회 이상 다운로드 됐다
www.boannews.com
Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea | McAfee Blog
Authored by SangRyol Ryu McAfee’s Mobile Research Team discovered a software library we’ve named Goldoson, which collects lists of applications installed,
www.mcafee.com
'보안뉴스' 카테고리의 다른 글
| 챗GPT 프롬프트 통한 민감 정보 유출 막기 위해 등장한 프라이빗GPT (1) | 2023.05.05 |
|---|---|
| 멀웨어 없는 공격 늘어나고 있어 무용지물 되고 있는 멀웨어 탐지 기술 (0) | 2023.05.03 |
| 북한 해커조직, 실제 주소와 똑같은 피싱 사이트 사용한다? BitB 기술 악용 (1) | 2023.04.17 |
| 챗GPT 속여서 탐지율 0%의 스테가노그래피 멀웨어 제작 성공 (0) | 2023.04.06 |
| 마이크로소프트 오피스 불법 복제 버전 설치한 우크라이나 기업, 침해사고 발생 (0) | 2023.04.06 |