화웨이 앱갤러리에서 900만 대 이상의 안드로이드 기기가 악성코드에 감염됨

악성코드 분석가인 Doctor Web의 연구팀은 화웨이 앱갤러리 카탈로그에서 사용자들의 휴대폰 번호를 수집하도록 설계된 새로운 종류의 악성코드를 포함한 수십 개의 게임을 발견했습니다.

최소 930만 대의 안드로이드 기기 소유자가 이러한 위험한 게임을 설치했습니다.

분석가들에 따르면, “Android.Cynos.7.origin”으로 분류된 트로이 목마는 Cynos 프로그램 모듈의 수정본 중 하나입니다. 이 트로이 목마는 시뮬레이터, 플랫폼 게임, 아케이드, 전략 게임 및 슈팅 게임과 같은 190개의 게임에서 발견되었습니다.

이 게임 중 일부는 러시아어 현지화, 제목 및 설명으로 러시아어 사용자를 겨냥했으며, 다른 게임은 중국 또는 국제 사용자를 겨냥했습니다.

“이 모듈은 안드로이드 앱에 통합되어 수익을 창출할 수 있습니다. 이 플랫폼은 최소 2014년부터 알려져 있습니다. 일부 버전은 꽤 공격적인 기능을 가지고 있습니다: 프리미엄 SMS를 전송하고, 수신 SMS를 가로채며, 추가 모듈을 다운로드하고 실행하고, 다른 앱을 다운로드하고 설치합니다.”라고 보고서는 말합니다.

Android.Cynos.7.origin을 포함한 앱은 사용자가 전화 통화를 하도록 허가를 요청하며, 이는 트로이 목마가 특정 데이터에 접근할 수 있도록 합니다.

사용자가 허가를 부여하면, 트로이 목마는 다음 정보를 원격 서버로 수집하고 전송합니다:

• 사용자 휴대폰 번호

• GPS 좌표 또는 모바일 네트워크 및 Wi-Fi 액세스 포인트 데이터를 기반으로 한 기기 위치 (응용 프로그램이 위치 접근 권한을 가질 때)

• 네트워크 코드 및 모바일 국가 코드와 같은 다양한 모바일 네트워크 매개변수; 또한, GSM 셀 ID 및 국제 GSM 위치 지역 코드 (응용 프로그램이 위치 접근 권한을 가질 때)

• 기기의 다양한 기술 사양

• 트로이화된 앱의 메타데이터에서 다양한 매개변수

한눈에, 이 트로이 목마가 내장되어 있고 설치 수가 많은 게임의 예를 살펴보겠습니다:

서둘러 숨기기 – 2,000,000 설치

고양이 게임 방 – 427,000 설치

운전 학교 시뮬레이터 – 142,000 설치

“처음에는 휴대폰 번호 유출이 사소한 문제처럼 보일 수 있습니다. 그러나 실제로는 사용자를 심각하게 해칠 수 있습니다. 특히 어린이가 게임의 주요 대상이라는 사실을 고려할 때 더욱 그렇습니다.”라고 보고서는 덧붙였습니다.

“휴대폰 번호가 성인에게 등록되어 있더라도, 어린이 게임을 다운로드하는 것은 어린이가 실제로 휴대폰을 사용하고 있다는 것을 나타낼 가능성이 높습니다. 부모가 위의 데이터가 알려지지 않은 외국 서버뿐만 아니라 일반적으로 누구에게도 전송되는 것을 원할 것이라고는 매우 의심스럽습니다.”

위협을 확인한 후, Doctor Web은 화웨이 회사에 이를 알렸습니다. 트로이 목마를 포함한 모든 애플리케이션은 이제 앱갤러리에서 제거되었습니다. 그러나 안드로이드 기기에 앱을 설치한 사용자는 추가 악용을 방지하기 위해 수동으로 제거해야 합니다.

“앱갤러리의 내장 보안 시스템은 이러한 앱 내의 잠재적 위험을 신속하게 식별했습니다. 우리는 현재 영향을 받은 개발자들과 협력하여 그들의 앱을 문제 해결하고 있습니다. 앱이 모두 안전하다는 것을 확인할 수 있으면, 소비자들이 다시 좋아하는 앱을 다운로드하고 계속 즐길 수 있도록 앱갤러리에 재상장될 것입니다.”라고 화웨이 대변인이 Bleeping Computer에 말했습니다.

“네트워크 보안 및 사용자 프라이버시 보호는 화웨이의 최우선 사항입니다. 우리는 이 약속을 이행하기 위해 모든 제3자 감독 및 피드백을 환영합니다. 우리는 파트너들과 긴밀히 협력하고, 동시에 사용자 프라이버시를 보호하기 위해 가장 진보되고 혁신적인 기술을 사용할 것입니다.