Google Play를 우회하도록 제작된 Hacking Team 덤프의 가짜 뉴스 앱

게시일: 2015-07-16 l 작성자: Wish Wu (Mobile Threat Response Engineer)

트렌드마이크로는 Hacking Team의 덤프를 분석한 결과, 구글 플레이의 필터링을 회피하는 가짜 뉴스 앱의 샘플을 발견했습니다. 이는 현재 iOS 기기가 Hacking Team에 연관된 스파이웨어의 위험에 노출되어 있음에 연이은 소식입니다. 현재 이 뉴스 앱은 구글 플레이가 7월 7일에 지우기 전까지 50회 까지 다운로드 되었던 것으로 추정됩니다.

BeNews” 앱은 이미 없어진 BeNews 뉴스사이트의 이름을 도용하여 합법한 앱으로 보이도록 한 백도어 앱입니다. 우리는 이 해킹 앱의 사용법을 고객들에게 알려주는 문서를 포함하여 백도어 소스코드를 발견했습니다. 이를 바탕으로 , 우리는 Hacking Team이 이 앱을 미끼로 활용하여 고객들로 하여금 타겟팅된 안드로이드 기기에 RCSAndroid 악성 코드를 다운로드하도록 했다고 믿고 있습니다.

백도어 프로그램인 ANDROIDOS_HTBENEWS.A 는 안드로이드 기기의 CVE- 2014-3153 로컬 권한 상승 취약점을 이용합니다. 안드로이드 버전 2.2 Froyo 부터 4.4.4 KitKa까지 영향을 미칠 수 있지만, 이 버전들에 한정되는 것은 아닙니다. 이 결함은 기존에 루트 익스플로잇 툴인 TowelRoot 로 사용되어 디바이스 보안을 우회하여 악성코드 다운로드를 위해 보안을 통과하고 원격공격자의 접근을 허용하는데 악용되었습니다.

그림 1. Hacking Team의 “BeNews” 안드로이드 앱 스크린샷

이 앱의 루틴을 보았을때 이 앱이 동적 로딩 기술을 이용해서 구글 플레이의 제한들을 우회했다고 생각됩니다. 초기에는 세 가지 권한만을 요청하고, 앱에 익스플로잇 코드가 없는 이유로 구글의 보안 기준에 따라 안전한 앱으로 간주될 수 있습니다. 하지만 이 앱은 동적 로딩 기술을 이용하여 인터넷으로부터 부분적인 코드들을 다운로드하고 실행합니다. 구글이 앱을 확인하는 동안에는 코드를 로드하지 않지만, 피해자가 앱을 사용하기 시작하면 앱이 코드를 푸쉬하게 됩니다.

그림 2. 동적 로딩 코드 경로 src/libbson/bson.cpp 스크린샷

사용가이드와 구글 플레이 계정이 포함된 유출된 코드들

트렌드마이크로는 Hacking Team 덤프에서 백도어 소스코드와 그 서버를 발견 했습니다. 그 중 “core-android-market-master.zip” 문서는 고객이 백도어를 조작할 수 있는 방법에 대한 자세한 내용뿐만이 고객이 사용할 수 있도록 준비된 구글플레이 계정 도한 포함되어 있습니다.

그림 3. BeNews 서버 설정들을 변경하는 문서

그림 4. 구글 플레이의 백도어를 관리하는 문서

권장 사항

Hacking Team과 유사한 시도의 확산으로 인하여 최종 사용자들은 보안 전면의 업데이트에 대해 경 계를 게을리하지 않아야 합니다. 내장된 구글 플레이의 보안 조치들을 우회하려는 위협들로부터 모바일 기기를 보호하기 위해, 트렌드마이크로는 모바일 시큐리티를 통해 안드로이드 모바일 기기를 위한 보안을 제공합니다. 사용자들은 구글 플레이에서 모바일 보안 솔루션을 다운로드하실 수 있습니다. 모바일 보안을 위한 트렌드마이크로 위협정보 센터의 모바일 안전 팁과 트릭에 대해 자세히 알아보십시오.

아래는 논의된 위협과 관련된 SHA1 해시 입니다:

ANDROIDOS_HTBENEWS.A

  • 9a58f0d3ddadc2854a976953d4d4a286ac53e093

원문: Fake News App in Hacking Team Dump Designed to Bypass Google Play