Necro Android Malware Found in Popular Camera and Browser Apps on Play Store
Necro Android Malware Found in Popular Camera and Browser Apps on Play Store
Necro malware infects 11 million Android devices via apps on Google Play, using steganography to evade detection.
thehackernews.com
- Necro 안드로이드 멀웨어 개요
- Necro 멀웨어는 2019년 처음 발견된 이후 다양한 안드로이드 애플리케이션을 통해 배포되는 멀웨어 로더
- 주요 타깃은 Spotify, WhatsApp, Minecraft 등과 관련된 변조된 앱 및 카메라, 브라우저 앱에서 발견됨
- Kaspersky에 따르면 이 멀웨어는 11백만 번 이상 다운로드된 Google Play Store의 앱에서도 발견됨
- 감염된 앱 목록 및 다운로드
- Wuta Camera - Nice Shot Always (com.benqu.wuta): 1천만 회 이상 다운로드
- Max Browser-Private & Security (com.max.browser): 1백만 회 이상 다운로드
- 현재 Max Browser는 Play Store에서 제거되었으며, Wuta Camera는 멀웨어가 제거된 업데이트 버전이 배포됨
- 멀웨어 배포 경로
- 앱 개발에 사용된 광고 SDK(Software Developer Kit)가 악성 코드를 포함한 것으로 의심됨
- Necro는 사용자가 멀웨어 페이로드를 다운로드하고 추가 멀웨어 모듈을 로드하도록 유도하는 광고 SDK를 활용
- Necro 멀웨어의 특징
- 은폐 기법으로 스테가노그래피(Steganography)를 사용해 페이로드를 숨김
- 비가시적인 창에서 광고를 표시하고 상호작용하거나 임의의 DEX 파일을 다운로드하여 실행
- WebView 창을 통해 임의의 링크를 열고 JavaScript 코드를 실행 가능
- 터널 생성을 통해 피해자의 디바이스를 통해 통신하고 유료 서비스에 가입할 수 있음
- Necro의 확장성과 다양한 기능
- Necro는 모듈식 구조로 설계되어 다양한 기능 모듈을 다운로드하여 악성 행동을 실행
- 주요 모듈
- NProxy: 피해자의 디바이스를 통한 통신 터널 생성
- Island: 광고 표시 간격을 조정하는 난수 생성기
- Cube SDK: 백그라운드 광고 처리 모듈을 로드하는 헬퍼 모듈
- Tap: C2 서버에서 JavaScript 코드 및 WebView 인터페이스 다운로드 및 실행
- Happy SDK: NProxy와 web 모듈을 결합한 모듈로, 새로운 비모듈식 버전의 가능성 제시
- 전 세계 Necro 공격 발생 현황
- Kaspersky에 따르면 2024년 8월 26일부터 9월 15일 사이에 10,000건 이상의 Necro 공격이 차단됨
- 주요 피해 국가: 러시아, 브라질, 베트남, 에콰도르, 멕시코, 대만, 스페인, 말레이시아, 이탈리아, 터키
- Google의 대응
- Google은 악성 버전 앱을 보고서 발표 전에 Play Store에서 제거
- Google Play Protect가 알려진 멀웨어에 대해 자동으로 사용자를 보호하며, Play Store 외부 출처에서 설치된 앱에 대해서도 경고하거나 차단할 수 있음
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| Deloitte 데이터 유출 사건 (0) | 2024.09.29 |
|---|---|
| 지오서버 익스플로잇과 이글도어 멀웨어를 이용한 중국 해커 (1) | 2024.09.29 |
| AI 시대의 비정형 데이터 관리를 위한 벡터 데이터베이스 (0) | 2024.09.29 |
| 사무실 복귀 움직임 (2) | 2024.09.29 |
| CIO가 자문해야 할 디지털 트랜스포메이션(DX) 질문 15가지 (0) | 2024.09.29 |