본문 바로가기
IT/모바일(휴대폰)

구글 계정을 훔치는 안드로이드폰 악성코드 굴리건(Gooligan)

by 썬도그 2016. 12. 1.
반응형

구글이 직접 스마트폰을 만드려고 하는 이유는 안드로이드폰의 파편화 때문입니다. 파편화란 애플 아이폰처럼 한 번에 모든 아이폰이 새로운 운영체제로 업데이트 되는 방식이 아니라 신제품을 포함 구형폰의 구글 운영체제에 대한 안드로이드폰 제조사의 사후 서비스 미비 및 사후 업데이트를 제공해도 업데이트를 하지 않고 사용하는 사용자가 많습니다. 이러다 보니 누구는 누가, 누구는 마시멜로우, 누구는 젤리빈 또는 킷캣 등등 운영체제가 제각각입니다. 

이렇게 다양한 구글이 제공한 안드로이드 운영체제가 함께 돌아가다 보니 운영체제에 대한 취약점이 나와도 빠르게 대처할 수 없습니다. 특히, 제조사가 출시된 지 2년 이상 된 구형폰에 대한 지원을 적극적으로 하지 않습니다. 이런 구조적인 문제점이 해결할 방법이 마땅치 않자 직접 자신들이 스마트폰을 만들겠다고 나오고 있습니다.

이런 안드로이드의 파편화는 앞으로 더 심해질 것입니다. 문제는 이런 파편화는 악성코드가 배포 되어도 빠르게 대처하지 못하는 문제가 되고 있습니다


#100만대 이상의 안드로이드폰이 감염된 악성코드 굴리건(Gooligan)

보안 기업인 체크포인트에 따르면  안드로이드 스마트폰 단말기에 루트 권한을 부정한 방법으로 취득하는 악성 코드 굴리건(Gooligan)이 크게 퍼지고 있습니다. 현재 무려 100만 대 이상의 안드로이드폰 스마트폰에 설치되고 있습니다.

이 악성 코드는 스마트폰에 악성 코드가 심어지면 루트 권한을 획득하고 인증 토큰을 훔칩니다. 따라서 구글 계정을 탈취해서 구글 플레아. 지메일, 구글 포토 등에 있는 사진과 자료를 훔칠 수 있습니다. 하루에 1만 3천대가 새로 감염되고 있는데 피해가 점점 확대되고 있습니다. 


#악성코드 굴리건이 침투하는 방법

체크 포인트에 따르면 굴리건은 우리가 흔히 앱을 설치할 때 사용하는 구글플레이에 있는 앱을 설치해서 침투하는 것은 아닙니다. 구글플레이 말고 이통사나 포털이 만든 안드로이드 앱 마켓도 있죠. 이런 앱 마켓을 서드파티 앱 마켓이라고 합니다. 굴리건은 이 서드파티 앱 마켓에서 굴리건 악성코드가 담긴 앱을 통해서 침투합니다. 

평소에 구글플레이에서만 앱을 설치하는 분들은 조금 안심하셔도 됩니다. 이렇게 서드파티 마켓에서 앱중에 굴리건 코드가 담긴 앱을 다운 받으면 굴리건은 공격자가 준비한 커맨드 & 컨트럴 서버에 스마트폰 정보를 전송하고 루투 권한을 얻어서 툴킷을 설치합니다. 그리고 루트 권한을 획득한 후 추가 악성코드를 서버에서 스마트폰으로 다운로드 합니다. 

침투한 후에 구글 지메일 계정의 인증 토큰을 빼낸 후에 구글 플레이, 구글 포토, 구글 지메일, 구글독스, 구글 드라이브 같은 구글 서비스에 있는 데이터를 빼낼 수 있습니다. 

또한, 굴리건에 감염된 후 구글 계정이 해킹한 후 구글 플레이에서 악성 앱을 다운로드 하거나 네트워크 광고(앱 다운로드 1건당 돈을 지급하는 광고)를 하는 앱을 설치한 후에 광고 수익을 얻어냅니다. 또한, 앱을 사용자 몰래 설치한 후에 앱 평가를 자기 맘대로 적어 놓습니다. 다행스러운 것은 실제로 사용자의 데이터를 빼낸 경우는 거의 없고 악성코드를 확산시키는데 주력한 것으로 보입니다. 


#굴리건에 취약한 안드로이드 운영체제는 젤리빈, 키켓, 롤리팝

굴리건에 감염된 스마트폰들은 안드로이드4인 젤리빈, 키켓과 안드로이드5인 롤리팝을 탑재한 스마트폰입니다. 현재 사용하고 있는 안드로이드폰의 74%가 이 안드로이드4,5를 사용하고 있습니다. 


이 굴리건에 감염된 스마트폰은 100만대로 추정하는데 이중 57%가 아시아, 19%가 아메리카, 아프리카가 15%입니다. 유럽이 가장 낮은 9%입니다. 


#굴리건을 퍼트리는 앱 리스트 

  • Perfect Cleaner
  • Demo
  • WiFi Enhancer
  • Snake
  • gla.pev.zvh
  • Html5 Games
  • Demm
  • memory booster
  • แข่งรถสุดโหด
  • StopWatch
  • Clear
  • ballSmove_004
  • Flashlight Free
  • memory booste
  • Touch Beauty
  • Demoad
  • Small Blue Point
  • Battery Monitor
  • 清理大师
  • UC Mini
  • Shadow Crush
  • Sex Photo
  • 小白点
  • tub.ajy.ics
  • Hip Good
  • Memory Booster
  • phone booster
  • SettingService
  • Wifi Master
  • Fruit Slots
  • System Booster
  • Dircet Browser
  • FUNNY DROPS
  • Puzzle Bubble-Pet Paradise
  • GPS
  • Light Browser
  • Clean Master
  • YouTube Downloader
  • KXService
  • Best Wallpapers
  • Smart Touch
  • Light Advanced
  • SmartFolder
  • youtubeplayer
  • Beautiful Alarm
  • PronClub
  • Detecting instrument
  • Calculator
  • GPS Speed
  • Fast Cleaner
  • Blue Point
  • CakeSweety
  • Pedometer
  • Compass Lite
  • Fingerprint unlock
  • PornClub
  • com.browser.provider
  • Assistive Touch
  • Sex Cademy
  • OneKeyLock
  • Wifi Speed Pro
  • Minibooster
  • com.so.itouch
  • com.fabullacop.loudcallernameringtone
  • Kiss Browser
  • Weather
  • Chrono Marker
  • Slots Mania
  • Multifunction Flashlight
  • So Hot
  • Google
  • HotH5Games
  • Swamm Browser
  • Billiards
  • TcashDemo
  • Sexy hot wallpaper
  • Wifi Accelerate
  • Simple Calculator
  • Daily Racing
  • Talking Tom 3
  • com.example.ddeo
  • Test
  • Hot Photo
  • QPlay
  • Virtual
  • Music Cloud

혹시 위에 있는 앱이 설치되어 있으면 후딱 지우시길 바랍니다. 체크포인트는 이 같은 사실을 구글에 통보했고 구글은 피해 받은 게정에 대한 알림 및 도난 토큰의 무효화 등의 조치를 권고하고 있습니다. 또한, 서드파티 앱 스토어에서 유료였다가 오늘만 무료 또는 갑자기 무료로 전환한 앱을 무턱대고 깔지 말라고 권하고 있습니다. 이래서 제가 주로 구글플레이에서 앱을 설치합니다. 

출처 : http://blog.checkpoint.com/2016/11/30/1-million-google-accounts-breached-gooligan/

반응형