Android용 앱을 다운로드할 때는 Google Play 앱만 사용하는 것이 상식입니다. 결국, 임의의 웹사이트에서 다운로드한 앱에 어떤 종류의 맬웨어가 번들로 포함되어 있는지 누가 압니까? 따라서 Google Play는 안전하고 신뢰할 수 있는 앱 다운로드를 위한 장소였습니다. 유감스럽게도 앱을 다운로드할 수 있는 가장 좋은 곳이지만 절대적으로 안전한 곳은 아닙니다!
최근 FalseGuide라고 하는 일련의 Android 멀웨어가 최대 200만 개의 Android 휴대폰을 감염시키는 데 성공했습니다. 이것이 어떻게 이루어졌으며 앱 전체에 어떤 의미가 있습니까?
방법
"FalseGuide"라는 이름은 앱이 배포된 방법을 알려줍니다. 그들은 Android 스토어에서 인기 있는 앱 하위 집합인 게임 가이드 앱을 활용했습니다. 게이머는 어렵거나 숨겨진 메커니즘이 있기 때문에 항상 자신이 플레이하는 게임에 대한 가이드를 찾고 있습니다. 온라인에서 가이드를 찾는 것은 새로운 혁신은 아니지만 앱은 가이드를 새로운 양방향 형식으로 가져왔습니다. 즉, 전 세계의 게이머가 자신이 플레이하는 게임을 이길 수 있는 앱을 찾기 위해 Google Play를 방문하고 있습니다.
맬웨어 개발자는 FalseGuide를 게임 가이드로 가장하여 밀수했습니다. 이러한 악성 가이드는 최대 배포를 보장하기 위해 Terraria 및 World of Tanks와 같은 인기 항목을 위해 작성되었습니다. 일단 업로드되면 사람들이 수천 명씩 가이드를 다운로드할 때까지 기다려야 했습니다. 게임 가이드의 세계에서 무언가 잘못되었다는 첫 징후가 2017년 4월 24일에 나타났지만, 멀웨어가 설치된 가장 오래된 앱이 2017년 2월 14일 Google Play에 업로드되었습니다. 이는 멀웨어가 몇 달 동안 자유 시간을 가졌다는 것을 의미합니다. 장치 간에 순환합니다.
실제로 맬웨어를 배포하는 한 Google Play에 액세스하면 맬웨어 배포자가 매우 쉽게 사용할 수 있습니다. 인기 게임 가이드에 악성 코드를 밀수하여 사람들은 그것이 Google Play에 있기 때문에 다운로드해도 100% 안전하다고 생각했습니다. Play 스토어는 오류가 없다는 잘못된 가정 하에 사람들은 아무 생각 없이 앱을 다운로드하여 FalseGuide로 자신의 기기를 감염시켰습니다. 이를 통해 FalseGuide는 2개월 만에 200만 개의 장치에 도달할 수 있었습니다.
악성코드가 발견된 전체 앱 목록은 공식 Check Point 기사 하단에서 확인할 수 있습니다.
FalseGuide는 무엇을 합니까?
모든 맬웨어에는 목적이 있습니다. 정보 도용에서 단순한 피해에 이르기까지 모든 악의적인 공격에는 동기가 있습니다. 현재 200만 개의 기기를 보유하고 있는 FalseGuide의 목표는 무엇인가요?
FalseGuide의 목적은 다음과 같습니다.
- 사용자가 휴대전화에서 감염된 게임 가이드를 찾아 다운로드를 시작합니다. 앱은 임무를 수행하기 위해 "디바이스 관리자" 설치 권한을 요청합니다. 사용자가 이를 수락하고 앱을 설치합니다.
- FalseGuide는 이제 기기 관리자 권한으로 설정되어 사용자가 지울 수 없습니다.
- FalseGuide는 사용자 모르게 "Firebase 클라우드 메시징"이라는 서비스에 등록합니다. 앱 개발자가 자신의 앱에 메시지와 알림을 보낼 수 있도록 하는 서비스로 순수한 의도로 개발되었습니다. FalseGuide는 제공된 앱과 동일한 이름을 공유하는 주제를 찾아 구독한 다음 추가 지침을 기다립니다.
- Firebase 주제를 통해 FalseGuide는 악성 명령을 설치하고 실행하라는 악성 코드 개발자로부터 메시지를 수신할 수 있습니다.
그 결과 배포자가 제공한 명령을 듣고 실행하는 삭제할 수 없는 맬웨어가 생성됩니다. 이러한 명령은 전화기에 애드웨어를 설치하는 것부터 피해자 서버에 대한 DDoS 공격을 시작하는 것까지 다양합니다. 간단히 말해서 FalseGuide는 멀웨어 배포자가 사용자의 기기에서 원하는 대로 할 수 있는 자유를 제공합니다.
어떻게 승인되었나요?
FalseGuide와 같은 앱의 문제는 무고한 앱으로 위장하여 설치된 후 악성이 된다는 것입니다. 이는 기본 앱에 악성 코드가 포함되지 않도록 함으로써 수행됩니다. 이는 "이동통신사 앱"이 악성코드가 감지되지 않고 Google Play 심사를 통과함을 의미합니다.
기기에 장기간 설치한 후에야 Firebase를 통해 지침을 받습니다. 그런 다음 이러한 지침은 악성 코드가 작동하는 데 필요한 악성 코드를 앱에 제공합니다. 이를 통해 FalseGuide와 같은 봇넷이 Google Play에서 자신을 확립하면서 엄격한 맬웨어 방지 감지를 받을 수 있습니다.
앞으로
봇넷이 Google의 공격을 받고 있는 상황에서 사용자인 우리는 이러한 공격을 피하기 위해 무엇을 할 수 있습니까?
먼저 휴대전화가 FalseGuide에 걸렸다고 의심되는 경우 신뢰할 수 있는 Android용 바이러스 백신 솔루션을 다운로드하여 실행하세요. 안전한 것과 그렇지 않은 것이 확실하지 않은 경우 시도해 볼 수 있도록 권장되는 바이러스 백신 앱 목록을 실행했습니다.
감염 여부와 상관없이 이 이야기는 Android 기기에 주의해야 함을 알려줍니다. Google Play는 앱을 다운로드할 수 있는 가장 안전한 곳이지만 완벽하지는 않습니다! 항상 "장치 권한" 팝업을 읽고 앱이 이동해서는 안 되는 곳으로 이동하도록 요청하지 않는지 확인하십시오. 간단한 앱이 휴대전화의 중요한 영역에 대한 권한을 요청하기 시작하면 설치하지 마세요.
잘못된 사용자
2백만 개가 넘는 기기가 감염된 FalseGuide는 앱이 공식 앱 스토어에 있다는 이유만으로 앱이 100% 안전하다고 가정하지 않는 방법에 대한 경고입니다. 이제 FalseGuide가 어떻게 작동하는지, 어떻게 퍼졌는지, 앞으로 유사한 공격을 피하는 방법을 알게 되었습니다.
공식 앱 스토어의 앱에 감염된 적이 있습니까? 댓글로 여러분의 이야기를 들려주세요!