Android를 개발하는 Google은 순정 스마트폰인 Pixel 시리즈 및 Android에서 소프트웨어의 악용에 엄격하게 맞서고 있지만, Google Play에서는 아직도 악성코드 앱이 배포되고 있는데 새롭게 수백만 대의 안드로이드 스마트폰이나 안드로이드 TV 기기에 악성코드가 사전설치되어 있다는 사실이 밝혀졌습니다.
Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices
https://www.trendmicro.com/en_us/research/23/e/lemon-group-cybercriminal-businesses-built-on-preinfected-devices.html
Lemon Group’s Cybercriminal Businesses Built on Preinfected Devices
An overview of the Lemon Group’s use of preinfected mobile devices, and how this scheme is potentially being developed and expanded to other internet of things (IoT) devices. This research was presented in full at the Black Hat Asia 2023 Conference in Si
www.trendmicro.com
Potentially millions of Android TVs and phones come with malware preinstalled | Ars Technica
https://arstechnica.com/information-technology/2023/05/potentially-millions-of-android-tvs-and-phones-come-with-malware-preinstalled/
Potentially millions of Android TVs and phones come with malware preinstalled
The bane of low-cost Android devices is showing no signs of going away.
arstechnica.com
수백만 대의 Android 스마트폰에 맬웨어가 사전설치되어 있다고 처음 보도한 곳은 보안회사 Trend Micro입니다. 일의 발단은 싱가포르에서 개최된 보안 관련 컨퍼런스 Black Hat에서 보안기업인 Sophos는 "Guerrilla"라는 이름의 악성코드를 포함한 15개의 악성 애플리케이션이 Google Play에 게재되어 있다"고 발표했습니다. Trend Micro의 보안연구자가 Guerrilla를 추적 조사한 결과 약 50개의 다른 브랜드에서 출시된 최대 890만 대의 스마트폰에 이 악성코드가 사전설치되어 있는 것으로 밝혀졌다고 합니다.
Guerrilla는 감염된 장치에 백도어를 설치하고 명령 및 제어서버와 정기적으로 통신하여 새로운 악성 업데이트를 설치할 수 있는지 확인하면서 작동하는 맬웨어입니다. 이 악의적인 업데이트는 Trend Micro가 "Lemon Group"이라고 부르는 위협액터가 광고주에게 판매하기 위한 사용자 데이터를 수집하기 위해 이용하고 있는 모양. Guerrilla는 배터리 잔량을 고갈시키고 사용자 경험을 저하시킬 수 있는 공격적인 광고 플랫폼을 은밀하게 설치하는 것으로 나타났습니다.
Guerrilla는 사용자의 WhatsApp 세션을 도용하여 불필요한 메시지를 보내고 감염된 기기에서 역방향 프록시를 설정하여 영향을 받은 기기의 네트워크 리소스를 사용하며 공인 앱에 광고삽입이 가능한 12가지 플러그인을 갖춘 대규모 플랫폼이 되었다는 것.
Trend Micro는 악성코드가 사전설치된 스마트폰 브랜드를 확인할 수 없었지만 Guerrilla에 감염된 스마트폰이 가장 많이 존재하는 것은 미국, 인도네시아, 태국, 러시아 순이라고 밝혔습니다.
Trend Micro는 Lemon Group에 대해 "Lemon Group이 빅데이터, 마케팅, 광고회사를 대상으로 하는 사업을 몇 가지 확인할 수 있었지만, 메인은 빅데이터의 활용에 있는 것 같다"고 보았습니다.
이어서 TechCrunch가 Amazon에서 판매되는 Android TV 기기에도 맬웨어가 사전 설치되어 있다고 보도했습니다.
Popular Android TV boxes sold on Amazon are laced with malware | TechCrunch
https://techcrunch.com/2023/05/18/popular-android-tv-boxes-sold-on-amazon-are-laced-with-malware/
Popular Android TV boxes sold on Amazon are laced with malware
The malware-infected AllWinner and RockChip-powered Android TV models are still available to purchase on Amazon.
techcrunch.com
TechCrunch에 따르면 맬웨어가 사전설치된 상태에서 판매되는 Android TV 디바이스는 중국 기업인 AllWinner와 RockChip이 판매하는 'H616을 탑재한 T95라는 모델'로 't95 h616'라고 검색하면 해당 디바이스가 여러 개 판매되고 있습니다. 또한 Amazon에서 AllWinner와 RockChip이 판매하고 있는 Android TV 디바이스는 수천 건의 칭찬 리뷰를 모았으며 평균 별 4개로 매우 높은 평가를 받고 있습니다.
이 안드로이드 TV 기기에 악성코드가 사전설치되어 있는 것을 발견한 인물은 해당 기기 중 하나를 우연히 구입했다는 보안연구자인 Daniel Milisic 씨로 GitHub에서 맬웨어가 사전설치된 Android TV 기기를 조사하고 있습니다.
Milisic 씨에 따르면 Android TV 장치에 사전설치된 악성코드는 Guerrilla와 마찬가지로 명령 및 제어서버를 통해 악성코드 작성자가 원하는 모든 응용프로그램을 감염된 단말기에 원격으로 설치할 수 있다고 합니다. 이 악성코드는 클릭봇으로 알려져 있으며 백그라운드에서 비밀리에 광고를 클릭하여 악의적인 사용자를 위해 광고수익을 창출합니다.
또한 전자 프론티어 재단의 보안연구자인 Bill Budington 씨도 문제가 있는 Android TV 장치를 Amazon에서 구입해 Milisic 씨의 조사결과를 독자적으로 확인했습니다. Milisic 씨에 따르면 AllWinner T95Max, RockChip X12 Plus, RockChip X88 Pro 10 등의 모델에 맬웨어가 사전설치되어 있었다고 합니다.
Ars Technica는 “공장출하 상태에서 멀웨어가 인스톨된 Android 디바이스는 새로운 것이 아니고, 최근 이런 종류의 사건을 5회 보도했으며 모두 저가격대의 스마트폰이었다”며 Android 스마트폰을 구입할 때는 Samsung, ASUS, OnePlus 등 알려진 브랜드 제품을 선택할 필요가 있다고 조언했습니다.
'IT' 카테고리의 다른 글
| 카드 사이즈인데 기존의 팬보다 CPU나 GPU를 식히는 '솔리드 스테이트 액티브 냉각' (0) | 2023.06.07 |
|---|---|
| 세계 최초의 해킹 테스트 위성 'Moonlighter' (0) | 2023.06.05 |
| 생성 AI의 비약적 성능 향상의 비밀 'Grokking' (0) | 2023.06.01 |
| 스마트폰의 지문인증을 기계적으로 실행할 수 있는 공격수법 'BrutePrint'...Android에는 효과적이나 iPhone은 방어 가능 (0) | 2023.05.24 |
| Pixel을 자동차 드라이브 레코더로 만드는 계획 (0) | 2023.05.19 |
| 구글, '마법의 거울'을 개발하는 'Project Starline'의 최신 프로토타입 공개 (0) | 2023.05.11 |
| 'IKEA의 의자에 앉으면 PC 화면이 어두워진다'는 괴현상의 원인과 대책 (0) | 2023.05.04 |
| 공공 충전스테이션을 통해 스마트폰을 해킹하는 '주스재킹'에 대한 경고는 넌센스라는 지적 (0) | 2023.05.03 |
