(22.08.17)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.29) (0) | 2022.08.30 |
|---|---|
| (22.08.22) (0) | 2022.08.23 |
| (22.08.12) (0) | 2022.08.12 |
| (22.08.10) (0) | 2022.08.10 |
| (22.08.08) (0) | 2022.08.09 |
보안권고문&뉴스/보안뉴스
- (22.08.17) 2022.08.17
- (22.08.12) 2022.08.12
- (22.08.10) 2022.08.10
- (22.08.08) 2022.08.09
- (22.08.03) 2022.08.03
- 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) 2022.08.01
- (22.07.29) 2022.07.29
- (22.07.27) 2022.07.27
(22.08.17)
2022. 8. 17. 21:48
(22.08.12)
2022. 8. 12. 21:12
(22.08.12)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.22) (0) | 2022.08.23 |
|---|---|
| (22.08.17) (0) | 2022.08.17 |
| (22.08.10) (0) | 2022.08.10 |
| (22.08.08) (0) | 2022.08.09 |
| (22.08.03) (0) | 2022.08.03 |
(22.08.10)
2022. 8. 10. 22:10
(22.08.10)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.17) (0) | 2022.08.17 |
|---|---|
| (22.08.12) (0) | 2022.08.12 |
| (22.08.08) (0) | 2022.08.09 |
| (22.08.03) (0) | 2022.08.03 |
| 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) (0) | 2022.08.01 |
(22.08.08)
2022. 8. 9. 17:03
(22.08.08)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.12) (0) | 2022.08.12 |
|---|---|
| (22.08.10) (0) | 2022.08.10 |
| (22.08.03) (0) | 2022.08.03 |
| 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) (0) | 2022.08.01 |
| (22.07.29) (0) | 2022.07.29 |
(22.08.03)
2022. 8. 3. 22:26
(22.08.03)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.10) (0) | 2022.08.10 |
|---|---|
| (22.08.08) (0) | 2022.08.09 |
| 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) (0) | 2022.08.01 |
| (22.07.29) (0) | 2022.07.29 |
| (22.07.27) (0) | 2022.07.27 |
새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01)
1.개요
HiddenAds 기능 및 프로모션
악성 활동이 있더라도 Google Play에 존재하므로 피해자는 다음 앱을 검색하여 기기를 최적화할 수 있습니다. 사용자는 일반적으로 앱을 실행하지 않고 설치하는 것이 안전하다고 생각할 수 있습니다. 그러나 이 맬웨어 때문에 마음을 바꿔야 할 수도 있습니다. 이 악성코드를 기기에 설치하면 상호작용 없이 실행되어 악성 서비스를 실행합니다.
또한 사용자가 앱을 알아채거나 삭제하지 못하도록 자신을 숨기려고 합니다. 아이콘을 사용자에게 친숙한 Google Play 아이콘으로 변경하고 이름을 'Google Play' 또는 '설정'으로 변경합니다.
애드웨어 앱은 연락처 제공자 Android 구성 요소를 남용하여 기기와 온라인 서비스 간에 데이터를 전송할 수 있습니다. 하위 시스템은 새 앱이 설치될 때마다 호출되므로 애드웨어가 이를 사용하여 광고 제공 프로세스를 시작할 수 있습니다. 사용자에게 광고는 공격자가 설치한 합법적인 앱에 의해 푸시된 것처럼 보일 수 있습니다. 이러한 앱의 첫 번째 작업은 표시하기 위한 영구 서비스를 만드는 것입니다.
자동으로 실행되는 서비스는 다양한 방식으로 피해자에게 지속적으로 광고를 표시합니다. 또한 이러한 서비스는 사용자가 기기에 앱을 설치, 제거 또는 업데이트할 때 앱을 실행하도록 유도합니다.
앱을 새로운 사용자에게 홍보하기 위해 악성 코드 작성자는 Facebook에 광고 페이지를 만들었습니다. 합법적인 소셜 미디어를 통해 배포되는 Google Play 링크이므로 사용자는 의심의 여지 없이 다운로드할 것입니다.
악성코드 동작방식
이 악성코드는 연락처 제공자를 사용합니다. 연락처 제공자는 장치의 연락처 응용 프로그램에서 볼 수 있는 데이터의 소스이며 자신의 응용 프로그램에서 해당 데이터에 액세스하고 장치와 온라인 서비스 간에 데이터를 전송할 수도 있습니다. 이를 위해 Google은 ContactContract 클래스를 제공합니다. ContactsContract는 연락처 제공자와 애플리케이션 간의 계약입니다. ContactsContract에는 Directory라는 클래스가 있습니다. 디렉토리는 연락처 말뭉치를 나타내며 고유한 권한을 가진 콘텐츠 제공자로 구현됩니다. 따라서 개발자는 사용자 지정 디렉터리를 구현하려는 경우 사용할 수 있습니다. 연락처 제공자는 매니페스트 파일의 특수 메타데이터를 확인하여 앱이 사용자 지정 디렉터리를 사용하고 있음을 인식할 수 있습니다.
중요한 것은 연락처 제공자가 새로 설치되거나 교체된 패키지를 자동으로 조사한다는 것입니다. 따라서 특수 메타데이터가 포함된 패키지를 설치하면 항상 연락처 제공자가 자동으로 호출됩니다. 매니페스트 파일의 애플리케이션 태그에 정의된 첫 번째 액티비티는 메타데이터를 선언하는 것만으로 설치 즉시 실행됩니다. 이 악성코드의 첫 번째 활동은 광고를 표시하기 위한 영구적인 악성 서비스를 생성합니다.
또한 서비스 프로세스는 강제 종료되더라도 즉시 생성됩니다.
그런 다음 <activity-alias> 태그를 사용하여 아이콘과 이름을 변경하여 숨깁니다.
전 세계적으로 감염된 사용자
사용자가 이미 이러한 앱을 10만에서 100만 이상 설치한 것으로 확인됩니다. 악성코드는 설치 시 동작한다는 점을 감안하면 설치된 번호가 피해자 번호로 반영된다. McAfee 원격 측정 데이터에 따르면 이 맬웨어와 그 변종은 한국, 일본, 브라질을 비롯한 다양한 국가에 영향을 미칩니다.
2.공격 침해지표(IoC) 및 대응
Applications:
| App Name | Package Name | Downloads |
| Junk Cleaner | cn.junk.clean.plp | 1M+ |
| EasyCleaner | com.easy.clean.ipz | 100K+ |
| Power Doctor | com.power.doctor.mnb | 500K+ |
| Super Clean | com.super.clean.zaz | 500K+ |
| Full Clean -Clean Cache | org.stemp.fll.clean | 1M+ |
| Fingertip Cleaner | com.fingertip.clean.cvb | 500K+ |
| Quick Cleaner | org.qck.cle.this | 1M+ |
| Keep Clean | org.clean.sys.lunch | 1M+ |
| Windy Clean | in.phone.clean.www | 500K+ |
| Carpet Clean | and.crp.cln.zda | 100K+ |
| Cool Clean | syn.clean.cool.zbc | 500K+ |
| Strong Clean | in.memory.sys.clean | 500K+ |
| Meteor Clean | org.ssl.wind.clean | 100K+ |
SHA256:
- 4b9a5de6f8d919a6c534bc8595826b9948e555b12bc0e12bbcf0099069e7df90
- 4d8472f0f60d433ffa8e90cc42f642dcb6509166cfff94472a3c1d7dcc814227
- 5ca2004cfd2b3080ac4958185323573a391dafa75f77246a00f7d0f3b42a4ca3
- 5f54177a293f9678797e831e76fd0336b0c3a4154dd0b2175f46c5a6f5782e24
- 7a502695e1cab885aee1a452cd29ce67bb1a92b37eed53d4f2f77de0ab93df9b
- 64d8bd033b4fc7e4f7fd747b2e35bce83527aa5d6396aab49c37f1ac238af4bd
- 97bd1c98ddf5b59a765ba662d72e933baab0a3310c4cdbc50791a9fe9881c775
- 268a98f359f2d56497be63a31b172bfbdc599316fb7dec086a937765af42176f
- 690d658acb9022765e1cf034306a1547847ca4adc0d48ac8a9bbdf1e6351c0f7
- 75259246f2b9f2d5b1da9e35cab254f71d82169809e5793ee9c0523f6fc19e4b
- a5cbead4c9868f83dd9b4dc49ca6baedffc841772e081a4334efc005d3a87314
- c75f99732d4e4a3ec8c19674e99d14722d8909c82830cd5ad399ce6695856666
Domains:
- http[://]hw.sdk[.]functionads[.]com:8100
3.출처
New HiddenAds malware affects 1M+ users and hides on the Google Play Store | McAfee Blog
Authored by Dexter Shin McAfee's Mobile Research Team has identified new malware on the Google Play Store. Most of them are disguising themselves as
www.mcafee.com
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.08) (0) | 2022.08.09 |
|---|---|
| (22.08.03) (0) | 2022.08.03 |
| (22.07.29) (0) | 2022.07.29 |
| (22.07.27) (0) | 2022.07.27 |
| (22.07.25) (0) | 2022.07.25 |
(22.07.29)
2022. 7. 29. 22:48
(22.07.29)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| (22.08.03) (0) | 2022.08.03 |
|---|---|
| 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) (0) | 2022.08.01 |
| (22.07.27) (0) | 2022.07.27 |
| (22.07.25) (0) | 2022.07.25 |
| (22.07.22) (0) | 2022.07.22 |
(22.07.27)
2022. 7. 27. 22:38
(22.07.27)
'보안권고문&뉴스 > 보안뉴스' 카테고리의 다른 글
| 새로운 HiddenAds 멀웨어, Google Play 스토어에서 숨어 1백만 명 이상의 사용자에게 영향을 미치는 공격(22.08.01) (0) | 2022.08.01 |
|---|---|
| (22.07.29) (0) | 2022.07.29 |
| (22.07.25) (0) | 2022.07.25 |
| (22.07.22) (0) | 2022.07.22 |
| (22.07.20) (0) | 2022.07.20 |