Godson 악성코드, 구글 플레이 앱에 등장
데이터를 훔치고, 위치를 추적하고, 클릭 사기를 수행할 수 있는 멀웨어가 감염된 타사 라이브러리를 통해 60개의 모바일 앱에 침투했습니다.
감염된 앱은 공식 Google Play 스토어에서 100억 회 이상의 다운로드를 기록했는데요
멀웨어 Goldoson은 Android 기반 장치에서 데이터를 훔치고 위치를 추적하며 클릭 사기를 유도하는 심각한 악성코드입니다.
이뿐만 아니라 Wi-Fi 및 Bluetooth를 통해 주변 장치의 위치를 스니핑 할 수 있으며 사용자의 동의나 지식 없이 백그라운드에서 광고를 클릭하여 광고 사기를 수행할 수 있는데요
이러한 멀웨어 Goldoson의 영향을받는 인기 있는 앱으로는 L.PAY가 있는 L.POINT, Lotte Cinema, Live Score 및 GOM이 있습니다.
추가로 구글 플레이에서 감염된 앱이 100억 건 이상, 한국의 선도적인 모바일 앱 스토어인 ONE에서 8만 건 이상 다운로드된 것이 밝혀졌습니다.
작동원리는 이렇습니다.
Goldoson의 라이브러리는 장치를 감염시킨 직후 장치를 등록하여 앱이 동시에 실행될 때 명령 및 제어 서버(C2)에서 원격 구성을 가져옵니다.
각 응용 프로그램에서는 라이브러리 이름과 원격 서버 도메인을 변경하고 난독화하여 탐지를 회피하며 원격 구성에는 앱의 각 기능에 대한 매개 변수가 포함되어 있으며 구성 요소를 실행하는 빈도를 지정하고 매개 변수를 기반으로 라이브러리는 주기적으로 장치 정보를 확인하여 원격 서버로 보냅니다.
기기의 모든 앱에서 데이터를 수집하는 Goldoson은 기기에서 요청하는 "QUERY_ALL_PACKAGES"라는 권한에서 시작되는데요
멀웨어는 Android 6.0 이상을 실행하는 기기에서 런타임에 위치, 저장소 또는 카메라에 액세스 할 수 있는 권한을 요청합니다.
위치 권한이 허용되면 감염된 앱은 GPS 데이터뿐만 아니라 주변 장치의 Wi-Fi 및 Bluetooth 정보에도 액세스 하여 사용자가 알지 못하는 사이에 웹 페이지를 로드하고, 해당 라이브러리가 HTML 코드를 로드하고 이를 사용자 정의 및 숨겨진 WebView에 삽입한 다음 URL을 재귀적으로 방문하여 숨겨진 트래픽을 생성하게 됩니다.
공급망 보안의 위협과 중요도
전문가들은 조직과 개발자 팀 간의 투명성이 소프트웨어 공급망 문제를 완화하는 가장 좋은 방법이라고 설명합니다.
오픈 소스 또는 타사 구성 요소가 포함된 애플리케이션을 사용하는 개발자와 조직 모두 소프트웨어 구성 요소를 구성하는 항목의 인벤토리를 제공하는 소프트웨어 BOM(SBOM)을 투명하게 밝히고 애플리케이션과 해당 구성 요소의 위험을 재평가하여 보안에 더욱 힘을 써야 합니다.
날이 갈수록 점점 위험해지는 데이터 사이버 세상, 그중 새로운 방법으로 지속적인 취약점에 노출되고 있는 공급망 SW들,
이제는 조금 더 신경 써야 할 때인 것 같습니다.
'즐거운 보안 이야기 > 공급망 보안 뉴스' 카테고리의 다른 글
| TSMC, 써드파티 소프트웨어를 통한 해커 공격으로 공급망 보안 위협 받다 (0) | 2023.07.06 |
|---|---|
| 미군에게 우편으로 보내진 의심스러운 스마트워치 사건 (0) | 2023.06.28 |
| 미국 연방정부의 SBOM 의무화 소프트웨어 업계에 미칠 영향은? (0) | 2023.05.10 |
| 소프트웨어 공급망 보안에서 해야 할 일과 하지 말아야 할 일 (0) | 2023.05.04 |
| 2023년 소프트웨어 공급망 보안 전망 뉴스 (1) | 2023.05.02 |
