허밍배드 안드로이드 악성코드, 구글 플레이 스토어로 돌아오다. 수백만 명에게 영향을 미쳤을 것으로 예상됨

허밍배드를 기억하나요? 네, 고객을 몰래 루팅하여 감염된 장치에 대한 완전한 제어를 얻는 체인 공격을 시작한 안드로이드 악성코드입니다. 작년에 체크포인트 블로그에서 이 악성코드가 어떻게 작동하는지와 인프라 측면에 대해 조명한 바 있습니다. 나쁜 소식은 이 악성코드가 다시 나타났고 이번에는 “허밍고래“라는 새로운 변종으로 나타났다는 것입니다. 예상대로 최신 버전의 악성코드는 더 강력하며 이전 버전보다 더 많은 혼란을 일으킬 것으로 예상되며, 광고 사기 DNA를 유지하고 있습니다.

이 악성코드는 처음에 제3자 앱을 통해 퍼졌으며, 1천만 대 이상의 전화기에 영향을 미쳤다고 전해지며, 매일 수천 대의 장치를 루팅하고 매달 30만 달러의 수익을 창출하고 있습니다. 보안 연구자들은 이 악성코드의 새로운 변종이 구글 플레이 스토어의 20개 이상의 안드로이드 앱에 숨어 있으며, 이 앱들은 이미 1천2백만 번 이상 다운로드되었다고 밝혔습니다. 구글은 이미 보고를 받고 앱을 플레이 스토어에서 제거했습니다. 또한 체크포인트 연구자들은 허밍고래에 감염된 앱이 중국 개발자 별칭의 도움으로 게시되었으며, 의심스러운 시작 동작과 관련이 있다고 밝혔습니다.

허밍배드 대 허밍고래

누구나 가장 먼저 궁금해하는 질문은 허밍고래가 허밍배드에 비해 얼마나 정교한가 하는 것입니다. 솔직히 말하자면, 같은 DNA를 공유하고 있음에도 불구하고 작전 방식은 상당히 다릅니다. 허밍고래는 APK를 사용하여 페이로드를 전달하며, 피해자가 프로세스를 주목하고 앱을 종료하려고 할 경우, APK 파일이 가상 머신에 드롭되어 거의 탐지할 수 없게 만듭니다.

“이 .apk는 드로퍼로 작동하며, 이전 버전의 허밍배드가 사용했던 전술과 유사하게 추가 앱을 다운로드하고 실행하는 데 사용됩니다. 그러나 이 드로퍼는 훨씬 더 나아갔습니다. Qihoo 360에서 원래 개발한 Android 플러그인인 DroidPlugin을 사용하여 가상 머신에 사기 앱을 업로드합니다.” - 체크포인트

허밍고래는 장치를 루팅할 필요가 없으며 가상 머신을 통해 작동합니다. 이는 악성코드가 감염된 장치에서 실제로 아무 곳에도 나타나지 않고도 무수한 사기 설치를 시작할 수 있게 해줍니다. 광고 사기는 가짜 광고와 앱을 사용자에게 보내는 명령 및 제어(C&C) 서버에 의해 수행되며, 이는 VM에서 실행되고 가짜 추천 ID에 의존하여 사용자를 속이고 광고 수익을 생성합니다. 유일한 주의 사항은 평판이 좋은 개발자로부터 앱을 다운로드하고 사기 징후를 스캔하는 것입니다.