Xamalicious 안드로이드 악성코드, 327,000대 이상 감염

맥아피의 보안 연구원들이 구글 플레이 스토어와 제3자 앱 스토어의 악성 앱을 통해 최소 327,000대의 기기를 감염시킨 새로운 안드로이드 백도어 악성코드를 발견했습니다.

맥아피 모바일 연구팀에 의해 ‘Xamalicious’라는 이름이 붙여진 이 악성코드는 .NET과 C#을 사용하여 안드로이드 및 iOS 앱을 구축할 수 있는 오픈 소스 프레임워크인 Xamarin을 사용하여 제작되었습니다.

이 안드로이드 악성코드는 소셜 엔지니어링을 통해 접근 권한을 얻으려고 시도한 후, 명령 및 제어(C2) 서버와 연결을 설정하여 두 번째 단계의 페이로드를 다운로드할지 여부를 평가합니다.

이 동적 페이로드는 런타임 수준에서 어셈블리 DLL로 주입되어 공격자에게 감염된 기기를 완전히 제어할 수 있는 권한을 부여하며, 사용자 동의 없이 광고 클릭, 앱 설치 등과 같은 재정적 동기가 있는 사기 행위를 수행할 수 있습니다.

또한, 두 번째 단계의 페이로드는 강력한 접근성 서비스 덕분에 첫 번째 단계에서 이미 부여된 감염된 기기를 완전히 제어할 수 있습니다. 여기에는 사용자 상호작용 없이 스파이웨어나 은행 트로이 목마와 같은 모든 유형의 활동을 수행할 수 있도록 주요 APK를 자동으로 업데이트하는 기능도 포함되어 있습니다.

맥아피 모바일 연구팀이 작성한 블로그 게시물에 따르면, 이 위협을 포함하는 약 25개의 악성 앱을 확인했으며, 그 중 13개는 구글 플레이에서 배포되었고, 일부는 2020년 중반부터 배포되었습니다.

Xamalicious 악성코드에 감염된 앱에는 Essential Horoscope for Android (100,000 설치), 3D Skin Editor for PE Minecraft (100,000 설치), Logo Maker Pro (100,000 설치), Auto Click Repeater (10,000 설치), Count Easy Calorie Calculator (10,000 설치), Dots: One Line Connector (10,000 설치), Sound Volume Extender (5,000 설치) 등이 포함됩니다.

맥아피의 텔레메트리 데이터에 따르면, 감염의 대부분은 미국, 독일, 스페인, 영국, 호주, 브라질, 멕시코, 아르헨티나의 기기에 설치되었습니다.

구글은 맥아피의 블로그 게시물이 발표되기 전에 영향을 받은 앱을 구글 플레이에서 적극적으로 제거했지만, 2020년 중반 이후 이 앱을 설치한 사용자들은 여전히 Xamalicious 악성코드가 활성화되어 있을 수 있으며, 이는 악성코드 위협으로부터 보호하기 위해 수동으로 정리하고 스캔해야 합니다.

The Hacker News에 대한 성명에서 구글은 구글 플레이 프로텍트가 플레이 스토어 내외에서 안드로이드 사용자를 악성코드로부터 보호한다고 밝혔습니다.

“사용자가 이미 악성코드를 포함하는 것으로 알려진 이러한 앱 중 하나를 설치한 경우, 사용자에게 경고가 표시되었고 자동으로 기기에서 제거되었습니다.”고 구글은 덧붙였습니다.

“사용자가 이 악성코드가 확인된 앱을 설치하려고 하면 경고가 표시되고 앱 설치가 차단됩니다.”