안드로이드 구글스토어에 클릭사기 악성코드 출현 - 일본서버호스팅 제이피서버
클릭 사기 악성 코드는 종종 Google Play 스토어나 비공식 앱 마켓에서 배포되고 있는 것을 발견됩니다.
클릭 사기 악성 코드는 일반 응용 프로그램과 동일한 API 외침과 권한을 사용하고 있기 때문에 감지가 어려운
경우가 있습니다. 일본서버호스팅
또한 Web 광고를 클릭하는 것과 같은 악의적인 동작은 악성 코드 실행시 공격자의 서버에서 다운로드되기
때문에 악성 코드는 악성 코드가 포함되어 있지 않습니다. 일본서버호스팅
이 특수한 방법을 이용하여 공격자는 클릭 사기를 언제라도 실행할 수있는 것입니다.
일본서버호스팅
맥아피 모바일 악성 리서치 팀은 Google Play 스토어에서 개발자 "TubeMate 2.2.9 SnapTube YouTube Downloader J."에 의해 배포된 클릭 사기 악성 코드 "Android / Clicker"을 발견했습니다.
또한 이 개발자에 의해 배포된 5개의 응용 프로그램은 8월 4일에 업데이트 된 며칠 후, 개발자의 프로필과
함께 Google Play 스토어에서 삭제된 것을 확인했습니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
Google Play 스토어에서 배포 상황을 확인해 보면 이상한 앱 이름이거나 앱 설명이 기재되어 있지 않거나
하는 등의 의심스러운 점을 쉽게 발견 할 수 있습니다. 일본서버호스팅
물론 이러한 정보만으로 해당 응용 프로그램이 악성이라고 단정할 수있는 것은 아니지만, 최신 어플를
적극적으로 시도해보는 Android 사용자에게는 악성코드 및 사기 앱에 감염 될 위험을 방지하기 위한
지표가 될수 있습니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
우리가 이 악성코드 샘플을 분석 한 결과, 장치 관리자 권한에 관련된 클래스에서 특정 URL에 액세스하여
클릭 사기 활동을 수행하는데 필요한 매개 변수를 얻고 있는것을 확인했습니다.
일본서버호스팅
일본서버호스팅
<장치 관리자 권한과 관련된 수신기 클래스에 포함된 악성 코드>
일본서버호스팅
일본서버호스팅
URL로 이동하면 공격자의 서버는 아래와 같이 제목 태그에 매개 변수를 포함하는 특수 HTML 페이지를
반환합니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
응답 HTML에 포함된 매개 변수는 한 줄에 쓰여져 있지만, 악성 코드는 문자열 "eindoejy"을 구분 기호로
매개 변수를 해석합니다. 일본서버호스팅
악성 코드가 대상이 되는 URL 클릭 동작을 시뮬레이션하는 JavaScript 함수 요청에 사용되는 HTTP 헤더 정보
광고 네트워크를 이용하여 클릭 수익을 창출하기 위해 Google Play 스토어에 앱 URL을 가져옵니다.
우리는 이 구분 기호로 사용되는 문자열 "eindoejy"는 "I enjoyed" 또는 "die enjoy"의 애너그램으로 추측하고
있지만, 다른 샘플에서는 다른 구분 기호가 사용되고 습니다. 일본서버호스팅
일본서버호스팅
이 악성 코드를 설치하면 메뉴 화면은 Google Play 스토어에서 다운로드한 앱과는 다른 아이콘이 추가됩니다.
등록된 아이콘은 언뜻보면 시스템 유틸리티처럼 보입니다. 일본서버호스팅
악성 코드에 의해 생성된 아이콘의 예는 아래와 같습니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
등록된 아이콘을 탭하여 악성 코드를 실행하면 장치 관리자 권한이 요구됩니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
악성 코드 샘플에 따라 다소 다르게 작동하지만, 작동하면 WebView를 사용하여 YouTube 트렌드 채널을
표시하는 샘플, 화면을 잠그고 화면을 흐리게하는 샘플, 백그라운드에서 부정 클릭 실행중에 앱충돌 현상하는
샘플 등이 확인되고 있습니다. 일본서버호스팅
부정 클릭은 광고주에게 손해가 될 뿐만 아니라 감염된 단말기에서 불필요한 통신을 발생시켜 단말의 배터리
소모 및 성능에 영향을 미치고, 또 다른 악성 코드가 실행되는 위험성을 포함하고 있습니다.
일본서버호스팅
McAfee Mobile Security는이 위협을 Android / Clicker.BN으로 감지하고 실행을 차단합니다.
악성 애플리케이션에 대한 위협으로부터 자신의 단말기를 보호하기 위해서는 먼저 공식 앱 스토어를
이용하십시오. 일본서버호스팅
그리고 이상한 앱 이름, 앱 설명의 유무, 부족한 사용자 리뷰 등 수상한 징후에 주의를 기울여야 합니다.
또한 응용 프로그램이 요청하는 권한이 앱의 기능과 관계 있는지를 체크해 보십시오.
특히, 장치 관리자 권한이 요구될 때는 주의합시다. 일본서버호스팅
장치 관리자 권한은 대부분 보안 제품, 기업이 사용하는 장치 관리 응용 프로그램과 메일 클라이언트 등으로
사용될 것이며, 일반 앱과 게임에 사용되는 것은 아닙니다. 일본서버호스팅
일본서버호스팅
일본서버호스팅
분석 된 샘플의 해시 목록 : 일본서버호스팅
일본서버호스팅
● b212cb284f6aba06599877ab49c1e0373909d65bd6f3c03f01d8c0e3d88dc85a
● f309ab9ecd2fb4895ba8eca873976e124817b1d8acfc553aa91798b6e82d79ea
● d642e69a53cba9b7c2a612173f9b410a6b1ac055ed575ad8019b263a5edaaeaf
● 50247e85ecb6452aa847a572ca04ab310cf8e9288520f824d13ebcc207be7c13
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅
일본서버호스팅