정교한 Android 스파이웨어의 새로운 반복 맨드레이크 Google Play 스토어에서 다운로드할 수 있는 5개의 앱에서 발견되었지만 2년 동안 감지되지 않았습니다.
Kaspersky는 월요일 기사에서 이 애플리케이션은 앱 스토어에서 삭제되기 전에 총 32,000건 이상의 설치를 유치했다고 밝혔습니다. 대부분의 다운로드는 캐나다, 독일, 이탈리아, 멕시코, 스페인, 페루, 영국에서 시작되었습니다.
연구원인 타티아나 시시코바와 이고르 골로빈은 “새로운 샘플에는 악성 기능을 난독화된 네이티브 라이브러리로 옮기고, C2 통신에 인증서 고정을 사용하고, 맨드레이크가 루트된 기기에서 실행되는지 아니면 에뮬레이트된 환경에서 실행되는지 확인하기 위해 광범위한 테스트를 수행하는 등 난독화 및 회피 기술의 새로운 계층이 포함되었습니다.”라고 말했습니다.
맨드레이크는 2020년 5월 루마니아 사이버 보안 업체 비트디펜더에 의해 처음 발견되었으며, 2016년부터 그림자 속에 숨어 있으면서 의도적으로 소수의 기기를 감염시키려는 접근 방식에 대해 설명하고 있습니다.
업데이트된 변종은 OLLVM을 사용하여 주요 기능을 숨기는 동시에 다양한 샌드박스 회피 및 분석 방지 기술을 통합하여 맬웨어 분석가가 운영하는 환경에서 코드가 실행되지 않도록 하는 것이 특징입니다.
Mandrake가 포함된 앱 목록은 아래와 같습니다.
- 에어FS(com.airft.ftrnsfr)
- 앰버(com.shrp.sght)
- Astro Explorer (com.astro.dscvr)
- 브레인 매트릭스(com.brnmth.mtrx)
- CryptoPulsing (com.cryptopulsing.browser)
앱은 3단계로 구성됩니다. 드로퍼는 명령 및 제어(C2) 서버에서 맬웨어를 다운로드하고 암호를 해독한 후 핵심 구성 요소를 실행하는 로더를 시작합니다.
2단계 페이로드는 또한 장치의 연결 상태, 설치된 애플리케이션, 배터리 백분율, 외부 IP 주소 및 현재 Google Play 버전에 대한 정보를 수집할 수 있습니다. 또한 코어 모듈을 지우고 오버레이를 그리거나 백그라운드에서 실행하기 위한 권한을 요청할 수 있습니다.
세 번째 단계에서는 WebView에 특정 URL을 로드하고 원격 화면 공유 세션을 시작하며, 피해자의 자격 증명을 훔치고 더 많은 맬웨어를 설치하기 위해 장치 화면을 녹화하는 추가 명령을 지원합니다.
“안드로이드 13은 ‘제한된 설정’ 기능을 도입했는데, 이는 사이드로딩된 애플리케이션이 위험한 권한을 직접 요청하는 것을 금지합니다.” 연구원들이 말했습니다. “이 기능을 우회하기 위해 Mandrake는 ‘세션 기반’ 패키지 설치 프로그램으로 설치를 처리합니다.”
러시아 보안 회사는 맨드레이크를 방어 메커니즘을 우회하고 감지를 피하기 위해 끊임없이 기술을 개발하는 역동적으로 진화하는 위협의 한 사례로 설명했습니다.
보고서는 “이는 위협 행위자들의 강력한 기술을 강조하는 것이며, 시장에 출시되기 전에 애플리케이션을 엄격하게 통제할수록 공식 앱 마켓플레이스에 더 정교하고 감지하기 어려운 위협이 몰래 침투할 수 있다는 것을 의미합니다.”라고 밝혔습니다.
논평을 요청하자 Google은 The Hacker News에 새로운 악성 앱이 신고됨에 따라 Google Play Protect 방어를 지속적으로 강화하고 있으며 난독화 및 회피 방지 기술을 처리하기 위해 라이브 위협 감지 기능을 포함하여 기능을 향상시키고 있다고 밝혔습니다.
Google 대변인은 “Android 사용자는 Google Play Protect를 통해 알려진 버전의 이 맬웨어로부터 자동으로 보호받습니다. Google Play Protect는 Google Play 서비스가 있는 Android 기기에서 기본적으로 활성화되어 있습니다.”라고 말했습니다. “Google Play Protect는 해당 앱이 Play 외부의 출처에서 온 경우에도 악의적인 동작을 보이는 것으로 알려진 앱을 사용자에게 경고하거나 차단할 수 있습니다.”
