트로이 목마에 의한 정보탈취로 안드로이드 기기 900만대 이상 정보탈취(21.11.25)
1.개요
Huawei AppGallery의 대규모 맬웨어 캠페인으로 인해 190개 이상의 다른 앱으로 가장한 Android 트로이 목마가 약 9,300,000개 설치되었습니다. 이 트로이 목마는 Dr.Web에 의해 'Android.Cynos.7.origin'으로 탐지되었으며 민감한 사용자 데이터를 수집하도록 설계된 Cynos 악성코드의 수정된 버전입니다. Android.Cynos.7.origin 트로이 목마가 내장된 AppGallery 카탈로그에서 수십 개의 게임을 발견했습니다. 이 트로이 목마는 사용자의 휴대폰 번호를 수집하도록 설계되었습니다. 최소 9,300,000명의 Android 기기 소유자가 이 위험한 게임을 설치했습니다.
Android.Cynos.7.origin은 Cynos 프로그램 모듈의 수정 사항 중 하나입니다. 이 모듈을 Android 앱에 통합하여 수익을 창출할 수 있습니다. 일부 버전에는 프리미엄 SMS 전송, 수신 SMS 차단, 추가 모듈 다운로드 및 실행, 다른 앱 다운로드 및 설치 등 매우 공격적인 기능이 있습니다. 멀웨어 분석가가 발견한 버전의 주요 기능은 사용자 및 장치에 대한 정보를 수집하고 광고를 표시하는 것입니다. Android.Cynos.7.origin이 포함된 앱은 사용자에게 전화 걸기 및 관리 권한을 요청합니다. 이를 통해 트로이 목마가 특정 데이터에 액세스할 수 있습니다.
사용자가 권한을 부여하면 트로이 목마는 다음 정보를 수집하여 원격 서버로 보냅니다.
- GPS 좌표 또는 모바일 네트워크 및 Wi-Fi 액세스 포인트 데이터를 기반으로 한 장치 위치(응용 프로그램에 위치 액세스 권한이 있는 경우)
- 네트워크 코드 및 모바일 국가 코드와 같은 다양한 모바일 네트워크 매개변수 또한 GSM 셀 ID 및 국제 GSM 위치 지역 코드(응용 프로그램에 위치 액세스 권한이 있는 경우)
- 장치의 다양한 기술 사양
- 트로이 목마 앱 메타데이터의 다양한 매개변수
언뜻 보기에 휴대폰 번호 유출은 사소한 문제처럼 보일수 있으나 실제로는 특히 어린이가 게임의 주요 대상이라는 사실을 감안할 때 사용자에게 심각한 피해를 줄 수 있습니다. 성인의 휴대폰 번호가 등록되어 있더라도 어린이용 게임을 다운로드하면 실제 휴대폰을 사용하는 사람이 어린이일 가능성이 높습니다. 부모가 전화에 대한 위의 데이터가 알려지지 않은 외국 서버뿐만 아니라 일반적으로 다른 사람에게 전송되기를 원할 것인지는 매우 의심스럽습니다.
시뮬레이터, 플랫포머, 아케이드, 전략 및 슈팅 게임과 같은 AppGallery의 190개 게임에서 Android.Cynos.7.origin을 찾았습니다. 9,300.000명 이상의 사용자가 이 게임을 다운로드했습니다(설치 수는 각 앱의 AppGallery에 나열된 다운로드 수를 기준으로 계산됨). 이러한 게임 중 일부는 러시아어 사용자를 대상으로 합니다. 러시아어 현지화, 제목 및 설명이 있습니다. 다른 사람들은 중국인 또는 국제 청중을 대상으로 합니다. 아래는 이 트로이 목마가 포함된 게임의 예를 보여줍니다.
이 Cynos 트로이 목마 변종의 기능은 SMS 텍스트를 감시하고 다른 페이로드를 다운로드 및 설치하는 등 다양한 악의적인 활동을 수행할 수 있습니다. 이러한 앱으로 인해 유료 서비스에 가입하게 되어 예상치 못한 요금이 부과될 수 있으며, 이들은 더욱 은밀한 스파이웨어 페이로드를 드롭할 수도 있습니다. 악성 트로이목마 기능을 수행하는 악성 앱 설치 및 관련 페이지에 접속하지 않도록 주의해야 한다.
2.공격 침해지표(IoC) 및 대응
악성 HASH
32cddb97ea43abea7038c32943eaa9261b0960b7
cb937b3451084f6d2234141e6ce99cddd3793b82
b6c4c01c309533735c4667854a28ad850471d2ae
1b72cf9c2cc8bb9af967d450c23cc5f8bd2c4698
2ab5263be3b11a343744cc46552ee770ea977f9a
dd2f7b303c80aee38c71bcbf7dd62dd57ea5fcd1
c42b5e86ee2d1c01fb210566d296a016ce31ef57
a0cb1232a1bcff9a16ea0a409f42b7ed6dab8aae
e8bd8be32ed3aebe83ab17f64bc96aa8cd62618c
ee21e5dc0bc9fd97a4f6b8f0f5600fb698005806
e4be4c31d4a086510a8228bdca0e912f9bd501ef
8a294c8557cdb00ce277a36a5fe5242de907894e
276fbd448ffa8071def70d6043c4a823093b0d0c
f70b2faa1f34ba0318bc4b08235f88ad7a0967cd
17c8331ff2fd450d2ab8c8c0dd2e6c2df306cb41
bef6cff2df62b4a5db8fa94149a66b12eb625096
37358755e8a65025662726eaedcd9138ac3dbd2a
5271c37c19c7a247c862c7112d7dea8db49ff046
cc6535e4e9e7e15ab25a3eefda7ddd59101ceb3d
470d7242731bb388965bbb5ff054a34784b50a16
bb86d27c4e6f2e7858eb59d41e0fd911afce085a
매칭되지 않은 HASH값(Virustotal)
f70f195fd9deffbde2ee812c93b327d07e18443f
fda4bc7b3883b3db3df13b0e1b07ad53bbe22a4d
e6024ce99966f4ecaff0efdae7781d9d448b2c79
e5ed0eda9513f41b5c9ebd7b14529180a4e5d822
d4c1b4b2a65279b768338f2c0d12b695572b101b
532b2d05f528ee68a1f89d02fa2477a8fac7c88b
fec03ced8741a8241fcb5f272ede566a634ba539
5599dfea0b274e4edbfdabad72d68e271b99e72d
f05119b12fc28aca89f48b5a939d6e1928c04bc6
7bf6516b2176363de9d7a7993445ede9f697260d
c4f1405bba22826a69e94ef20763cb664bc3b44c
c30291b34ec74128196612b0a80034424de2ea67
f56151b7fd4096f73574717075f6c08e32ff4765
fca6cb15168ac7b256da4bbb442cf93050981b61
78e48efac48d7ed9ea53a7a7df294da0a97de066
c80fee5ffccf9ce85ff15b7d085d700ae70aef98
4a4abab1e69ef629c1c622fd3be280c013e4e9fd
b860d5303d8921fed08c5e374483ac127ee2385e
b936c97eb91bf6071aa38ead5fb5b8ce11d9a0c1
38ab82696f45fdf52c04d3ba760e8b752b07df6d
a4dbe44e0cbef5db32651050189848e9207e28ed
1a17dd8b6bb1a08ab53b2d096535d251a8d7a8cb
81ae7a0fac2f385b2984669356d92cf7e807fbb7
6c748786e3d18321b7e2f6c64b578ecb310d5b82
195bad41d7c0cee3a388ec072353e9b62c923c67
664e47cebb0464339d5e75efb4279c1fa86e131a
f57efc2ee390c43d42dde0e6dde81a2c5dd1958b
6cc4c02dc12afeadd1e1c41f5a55f9be35aeca72
18558dca2734d6b098d91d570e0ca13623e0a851
aa2f1784fe24b564fdeb577a340d439661db1571
79ddb48ac25eb392c9e92dc44d32bbc522e19fae
30abca107e63b3858bc661f27e2ab56ee3fbb471
cb7d260684c212c04c39bc96e6e7c4b91c62b516
cfc35d28dad612e515a5f90a91fc7b33bcf7d7d6
fac857b82698fbfe0703a589547b786a15550d30
8b92f9eb20ecec1b2ebb64ad182bc03978c7914c
dbda535b5f4b4ad0be5beff735a3d874fa928a83
38d90ca290c3e9f4b81d56827b1ae785c9acfd17
47318a439e6cab2f03533237554d54c20f7aebb7
0b04b58b75e3177955b018fafdf30ab85333a1f9
447ef6268110c38d2b877b24dd0aca64fb2a945d
b92a05e0f4272adde5a8027326f80a27bf33d082
47849d36529860621e0ee70b090394673e8ab318
ad7a2d73c7ab4617820ceb9275775985b0ea9338
562d32c7164f0eb03708cbbd95e05773eb7c9dd7
5631cb845fe82159d956e1706369b97f3c926895
761d1ddf7a1c154151fd1063e8bf0360fc55321b
faa4f1155864f9b608155a9f88d6f03dfd8a8210
9a812007f569919aafc9d3a2fd6a6ca1d74b6811
a3a35029a7117ed4f27ed75918c65751743d40d6
c4db10ee573129d137049fe91dec109dc8e2a5bc
10861b6024523a5565d6db7e368686389afeac1a
92fbf61b4a4b7f3abefd381a15843a34521eb6ed
db72c401cd93981689a982a1ee1d028aa451f8f4
daceb5776ba8bce6320854608e1a63ef6c2046ba
b1e59c622ee3379953e0127ab25a0a73cc508a06
a40beed049277026a0f0eb0d051c9defadca8f86
6de7ebf6a098b446dba0ac72e347dc4cc186d243
f01974eeeec43182b5a17f4753245389794b9e54
5136560049eb1740325494aa708937515cbc0668
f0d91494d8c6dce16e5e3ab2f5771e865d773e51
78d114cf22fffc67c744ee80ff133008a0397099
20470de1ef944de2a7918ca17002f33c9df177cd
f2643a0b517b51c7c18a3e6c853b736e6b0adf28
d5dc75912e039d95a5723f1d17fdd59fafb2e1ec
24105bc679bca09964593f768f334ca25a833a5e
2edd4fc0d2b7bc3ac7e56e74a3baf58f36272b85
394111215a381baef07ab43f7e343f9b4b451db2
582a02e0a5d98c2970a524f6ca97c13d8c4defc0
d294206a3760ea7c823d2b669dc76cd23a0781a2
d10a7da60bffee2786d570112fa5d6e0ca6c62da
587d0c9138a53b327afe69c090bf977757551bd3
b4c11c9c19e53285ab245da6529bb9adb1faedc4
b69c0291251be552c6c9ff8161abc0c5d7323c75
8d5f8c2f4ba3230fa927d497b9160294058658e5
553676688a6c0c4cde71ee2b2639ef4d14a29bd4
0cf0b20ab0664443e77ca3202d058b270b8dc2aa
77d9e5da03e66bf7d4fc96c55d5e1283f67e870d
0fa877a17adf054ad5dfb4df07a66954057417f2
f2742710a4d6aec0fddda234101159b4111fab3c
00f5d3e40216842c107456f81008b355175418bd
e7ad32238c612b3905ba4362f5e4c38b7cd8cbe6
391eed9c22041677d311f912212f6b49dd716980
64be16a6c0f829515f2049e6e5ab31b6200f4440
d99d8e5c70f867492e9908ddac09f43f7393266c
245778ef52e511ce3d317247a80f1f42c3160d66
ddd820fe425d143298e6a2d5358c000ef129b841
e6127854280c8ed57b02e31ae6b92691e721902e
0d5c4057b6a1e08d0b90158453a27fc3c4a5be43
84aaa479668304a8c886e110bb945980362edc72
6f9b0f0a0fae1e8da1b45c792565030832baac3d
1dc9041c623175e62b793499f877dcdbe6c7a02d
2f43b0a927c6127d8d1c3a920876b853c2b703ad
61776ecc091a7097162ea59f0d870d718052fb75
5a9211ccec1a1a2cf78a9af6ed6d2ee891994cf7
08126e7c6dbe785d9d7ab62f2682a62f8b629351
3c98fc7efe6685bf258fb592b268f97ecb04db72
fa259b2332c3df5b49bf39442e0a0823efda8103
892d2575d5780703ff537f14d9dbd99a9c8fc343
0418c85691260d9f5bf97da4287a20a94197d724
b5f60efdfe0f3ababb21a60165b9cf875760816b
d22dba8ed5cca602fcb3671fcd75bccf73893626
e121ac6bc76790ba5188985e4e6796059c706385
fedbbf0414a4c71d66cccabe52afcca3180a7c0b
bef0706efeebbd244aef756e7aefb2b3c3830eae
dcdcbed79aa270cdf65b857f940cc74c15157bf0
741fa91c2be3093e6edfc553a51038eceb0368ba
fc39865027a95e8a72fdef44dd5fcd879336bef8
8d86ca23d20d8185009b35e1ec66f130b99cc03a
b5f93f3162ebf4bfa2f60c38e1e0faceb9516c92
36366fb656378c21fc24651383a16e5e8f5937ed
626d2d93f70b55c5440ff49d641bfdec9cacd04b
0675e69a6ea1a212a2a93ef8a1fc8b1201d7ab89
a82f2fa8b97a864fa1cd701a4ff57b640ef5f6a0
d5e48f2d7127b8f90d268968367f2f51be1583a5
107c84e8727a42815d67b56ff7cdfb15d36ac06d
7ec611a45b59c9797416d0902a6ca5282487fe50
4ee80638496df3873bd10d5cd601e6deb475f5c1
0924d1455f80434dffa110d05fea6735f09c6e20
d8f274f22d55fc0a4d7a515b99a5991ca1deb6ff
e65dcb0e3ebb5b95fffb8d45f7145ce185f610e1
1ada19c422266ae7e29b1efb0e185c1d7d4762aa
bd4b2cb225c45ef1095892e4b4a136d4524a751c
e0a4240ee150654ac3976aaa135856a39bf26a8c
4a038648bf6b5f8f5fc3383f16465d799c9d987b
b02424c6e3b561c12526dc2fcc222c7ca03aeb4e
5d6e0071b7ec7dc1779a97c92ede41045afa89f0
9342d3d66b2098663d1b0698b663218f781156f6
6837238bdc8c1905c1cfbfec3ca39a8e586677cc
3379888d53fd51effd67ff9fbc2119d68d97eaf3
63148f90fb8e8079fadb3ce493674fe1cb190df2
6670503a1cf8b08e8929e711d3015899c89fd80a
5a192f3a6503ab550032023aec571d7ee6712c07
828e546a47bbb0d3736875f6a2ee00888e47df0b
eb047267a7f24b5747d382b16127a8fa01fda801
84f82cdee151a378799b1f932d1c858b06a0ae3b
b544cfa04bbc4c543dedba058612c15409a85c1f
372fb1d75294a7c410c5a1c56491bc87979f1839
cc2b9dcd658316f87f35dd75d03c1e3f1ab2a870
c84d75738aa2ddeaef76f4ca25dcb0679b1668c1
f3a2abc0b87efcdbb40baeed076272d921d8b7a9
6c432c9fcef93f885dde2ebe7229d4eff84a8514
2c73e62f29675ac96f49eadc2ec10351568bd3da
b7ba41e8b9916f760413b7246238ac541baf5335
b084b4415bd7e8662028c9f372b5a881b87283cf
66a582ab71624e06ee65b59ee2dcd9892c95dbf5
700d4672266d6f5d0389c160f7c51a0e2145b096
4dca550b503de2728db030f8cd92fbe889030f17
ed02f8a71a39667da7315155d924a12b0fc083cb
7d5dae3505c05374a520af127c285ea159d9d2bb
64eff308776e31534b07d0e03a530516e30fafa7
4900a43d29501a10d4d223ad5ed4e3188de1d630
ad94b5f60864ae7fc45465ad1d3572a7d11c39d3
8153376ecbb60c8533c11faee9435d0568c2e93a
14eb8161f37667260fe4946ad3ef4bbb3bb9fd28
0ff27de04098aaf0420f37e1c96f2770e399656b
98a6f3a393f2b0ab5a43662f6cdba1af89b431a1
다수 악성 HASH값이 탐지하지 않고 있어 신속한 업데이트가 필요하다. 이에 따라 침해지표의 악성HASH와 Virustotal에서 매칭되지 않은 HASH값에 대해서 분석 요청진행하였습니다.
3.출처
https://news.drweb.com/show/?i=14360&lng=en
https://github.com/DoctorWebLtd/malware-iocs/blob/master/Android.Cynos/README.adoc
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
지속적인 사이버공격에 타격을 입은 이케아 이메일 시스템(21.11.29) (0) | 2021.11.29 |
---|---|
가상화폐와 NFT 커뮤니티 대상으로 한 디스코드 악성코드 캠페인(21.11.26) (1) | 2021.11.26 |
RATDispenser: RAT를 은밀히 배포하는 JavaScript 로더(21.11.24) (0) | 2021.11.24 |
마이크로 소프트, Exchange 서버의 취약점 패치 촉구(21.11.23) (0) | 2021.11.23 |
내부 응답 체인 공격으로 해킹된 Microsoft Exchange 서버(21.11.22) (0) | 2021.11.22 |