안드로이드 악성코드 ‘네크로’, 1100만 대 이상의 안드로이드폰 감염

Kaspersky Lab Inc.의 보안 연구원들은 Google Play 및 비공식 앱 소스를 통해 최소 1100만 대의 안드로이드 기기에 설치된 새로운 버전의 네크로 악성코드를 발견했습니다.

잘 모르는 분들을 위해, 네크로 악성코드는 2019년 CamScanner라는 전화 PDF 생성기 앱에서 처음 등장했으며, 이 앱은 Google Play에서 1억 회 이상 다운로드되었습니다.

그러나 새로운 변종 네크로 악성코드는 다단계 로더로, 탐지를 피하고 페이로드를 숨기기 위해 스테가노그래피 및 난독화와 같은 고급 방법을 사용합니다.

더욱이, 이 악성코드는 Google Play의 합법적인 앱에서 사용되는 악성 광고 소프트웨어 개발 키트(SDK)와 Spotify, WhatsApp과 같은 인기 소프트웨어의 수정된 버전, 그리고 비공식 앱 스토어를 통해 제공되는 Minecraft, Stumble Guys, Car Parking Multiplayer, Melon Sandbox와 같은 안드로이드 게임 앱을 통해 안드로이드 기기에 설치되었습니다.

Kaspersky는 Google Play의 두 앱에서 새로운 네크로 악성코드를 발견했습니다. 첫 번째는 “Wuta Camera”로, 실시간 미용, 얼굴 특징 조정 및 메이크업 필터를 제공하는 무료 앱입니다. “Benqu”에서 개발한 이 앱은 Google Play에서 10,000,000회 이상의 다운로드를 기록했습니다.

Kaspersky에 따르면, 네크로 로더는 Wuta Camera의 6.3.2.148 버전부터 6.3.2.148 버전까지 존재했으며, 보안 회사가 Google에 알렸습니다.

악성 코드는 6.3.7.138 버전에서 제거되었지만, 그보다 낮은 버전을 사용하는 안드로이드 사용자들은 여전히 위험에 처해 있으며 즉시 업데이트할 것을 요청받고 있습니다.

두 번째 합법적인 앱은 “Max Browser”로, “WA message “recover-warm”이 생성했습니다.

이 웹 브라우저는 Kaspersky의 알림 이후 제거되기 전까지 Google Play에서 백만 회 이상 다운로드되었습니다.

Kaspersky에 따르면, 최신 버전인 1.2.0은 여전히 네크로 로더를 포함하고 있으며, 제3자 리소스에서 사용할 수 있습니다. 사용자는 이 버전을 즉시 제거하고 다른 브라우저로 전환할 것을 권장합니다.

두 경우 모두 Kaspersky는 ‘Coral SDK’라는 광고 SDK에 감염되었으며, 이 SDK는 악성 활동을 숨기기 위해 난독화 방법을 사용했습니다. 또한 두 번째 단계 페이로드인 shellPlugin을 무해한 PNG 이미지로 위장하기 위해 이미지 스테가노그래피를 사용했습니다.

안드로이드 기기가 감염되면, 악성코드는 공격자에게 사기 수익을 생성하기 위해 백그라운드에서 보이지 않는 창에 광고를 표시하는 모듈, 임의의 JavaScript 및 DEX 파일을 다운로드하고 실행하는 모듈, 다운로드된 앱을 설치하는 모듈, 피해자의 장치를 통해 터널링하는 모듈, 심지어는 유료 구독을 취소할 수 있는 모듈을 활성화합니다.

이번 네크로 악성코드에 감염된 안드로이드 기기의 정확한 수는 알려져 있지 않지만, Google Play에서만 최소 1100만 대의 안드로이드 기기에 영향을 미쳤을 것으로 추정됩니다.

Kaspersky에 따르면, 이 악성코드는 8월 26일부터 9월 15일 사이에 러시아, 브라질, 베트남, 에콰도르, 멕시코의 수만 명의 사용자를 대상으로 하는 것으로 나타났습니다.

잠재적인 위협으로부터 보호하기 위해 Kaspersky는 사용자가 악성 코드가 제거된 버전으로 영향을 받은 Google Play 앱을 업데이트하거나 안드로이드 기기에서 삭제할 것을 권장합니다.

또한 사용자는 공식 소스에서만 앱을 다운로드하고, 장치를 악성코드 설치 시도로부터 보호하기 위해 신뢰할 수 있는 보안 솔루션을 사용할 것을 권장합니다.