Xamalicious Android 악성코드가 327,000개 이상의 기기에 영향을 미침

McAfee의 보안 연구원들은 Google Play 스토어 및 타사 앱 스토어의 악성 앱을 통해 최소 327,000대의 장치를 감염시킨 새로운 Android 백도어 악성 코드를 발견했습니다. McAfee 모바일 연구 팀에서 'Xamalicious'라고 명명한 이 악성 코드는NET 및 C#으로 Android 및 iOS 앱을 구축할 수 있는 오픈 소스 프레임워크인 Xamarin을 사용하여 제작되었습니다.

 

안드로이드 악성코드는 소셜엔지니어링을 이용해 접근성 권한을 얻으려고 시도한 후 명령 및 제어(C2) 서버와 연결을 설정해 2단계 페이로드 다운로드 여부를 평가한다.

런타임 수준에서 어셈블리 DLL로 삽입된 이 동적 페이로드는 공격자에게 손상된 장치에 대한 모든 권한을 부여하고 잠재적으로 사용자 동의 없이 금전적인 동기를 부여받은 기타 작업 중에서 광고 클릭, 앱 설치와 같은 사기 작업을 수행합니다.

 

또한 강력한 접근성 서비스로 인해 두 번째 단계 페이로드는 첫 번째 단계에서 이미 부여된 감염된 장치를 완전히 제어할 수 있습니다. 여기에는 기본 APK를 자체 업데이트하는 기능도 포함되어 있어 사용자 상호 작용 없이 스파이웨어나 뱅킹 트로이 목마와 같은 모든 유형의 활동을 수행할 수 있습니다.

 

McAfee Mobile Research Team 블로그 게시물에서 그들은 위협이 포함된 약 25개의 악성 앱을 식별했으며 그 중 13개는 Google Play에 배포되었으며 일부는 2020년 중반 이후에 배포되었다고 밝혔습니다.

Xamalicious 악성 코드의 영향을 받는 일부 앱에는 Android용 Essential Horscope(100,000회 설치), PE Minecraft용 3D Skin Editor(100,000회 설치), Logo Maker Pro(100,000회 설치), Auto Click Repeater(10,000회 설치), Count Easy Calorie Calculator( 10,000회 설치), Dots: One Line Connector(10,000회 설치), Sound Volume Extender(5,000회 설치) 등이 있습니다.

 

McAfee의 원격 측정 데이터에 따르면 대부분의 감염은 미국, 독일, 스페인, 영국, 호주, 브라질, 멕시코 및 아르헨티나의 장치에 설치되었습니다.

영향을 받는 앱은 McAfee의 블로그 게시물이 게시되기 전에 Google에 의해 Google Play에서 사전에 제거되었지만 2020년 중반 이후 해당 앱을 설치한 사용자의 휴대폰에는 여전히 Xamalicious 악성 코드가 활성화되어 있을 수 있습니다. 이를 위해서는 수동 정리 및 검사가 필요합니다. 맬웨어 위협으로부터 보호합니다.

 

Google은 The Hacker News 에 보낸 성명에서 Google Play Protect가 Play 스토어 안팎에서 Android 사용자를 맬웨어로부터 보호한다고 밝혔습니다.

구글은 “사용자가 이미 악성 코드가 포함된 것으로 알려진 앱 중 하나를 설치한 경우 경고 메시지가 표시되고 해당 앱이 기기에서 자동으로 제거되었습니다.”라고 덧붙였습니다.

"사용자가 식별된 악성 코드가 포함된 앱을 설치하려고 하면 경고 메시지가 표시되고 앱 설치가 차단됩니다."

 

*참조한 원본 글:https://www.techworm.net/2023/12/xamalicious-android-malware-affects-over-327000-devices.html

 

불법 광고를 사용하는 안드로이드 악성 앱 35개 (200만 이상 다운로드 앱들, 삭제 요망)