사용자의 허가없이 광고를 표시하는 악성 코드가 설치된 상태에서 삼성과 Huawei 등의 Android 스마트폰이 출하 된 것으로 밝혀졌다. 악성 코드가 혼입 된 상태로 출시 된 단말기는 500만대에 이를 것이라고...
보안 회사 Check Point Mobile은, "RottenSys"라고 이름 붙여진 악성 코드가 500만대 가까운 Android 기기에 사전 설치되어 있던 것을 분명하게 밝히고 있다. RottenSys라고 하는 이름은, 악성 코드가 발견되었을 당시에 "System Wi-Fi service"로 위장되어 있었기 때문에 붙여진 것.
최근 Xiaomi의 저가 스마트폰 "Redmi" 시리즈에, System Wi-Fi service를 자칭하는 앱이 눈에 띈 것으로부터, Check Point Mobile의 엔지니어가 조사한 바에 따르면, 앱이 안전한 Wi-Fi 관련 서비스를 제공하는 대신 Wi-Fi 서비스와 무관 한 접근성의 허가와 일정에 대한 액세스 권한 허가, 백그라운드에 다운로드 허용 등 민감한 사항에 대한 권한을 요구하는 것을 알게되었다는 것.
RottenSys는, 악성 앱 임이 발각되지 않도록, 처음에는 즉시 활동을 하지 않도록 설정되어 있으며, 대신 C & C 서버에 접속 해, 악성 코드를 포함한 추가 구성 요소 목록를 전송하고, C & C 서버에서 구성 요소를 다운로드 한다.
필요한 구성 요소가 모두 다운로드되면 Android 어플리케이션 가상화 프레임 워크 "Small"을 사용하여, 구성 요소를 동시에 실행하고 홈 화면이나 팝업 창, 전체 화면 광고를 표시하게된다라는 것. 또한 RottenSys는 광고 표시를 하기위해 중국 Tencent의 광고 플랫폼 "Guang Dian Tong"이라고 중국 Baidu의 "Baidu ad exchange"에 연결된다.
Xiaomi 단말기에 RottenSys에 의한 광고가 게재되었다는 게시물에서, 어떻게 광고가 표시되는지 알 수 있다.
Check Point Mobile은, RottenSys의 유입 경로에 대해서도 조사했는데, "天湃浅装", "天湃面"이라고하는 중국 항저우에 본사를 둔 휴대폰 유통점 "Tian Pai"와의 관련을 시사하는 단서를 발견하고 있다는 것. Check Point Mobile에 따르면 조사에서 발견 된 RottenSys에 감염된 단말의 49.2%가 Tian Pai의 판매 채널에서 출하 된 것이라고 한다.
또한 RottenSys가 설치된 단말기는 다음과 같다. 서브 브랜드 Honor를 포함하여 Huawei의 톱, 다음으로 Xiaomi, Oppo, Vivo, Meizu, LeEco, Coolpad, Gionee 등의 중국세가 죽 이어졌고, 삼성의 단말기도 포함되어 있다.
RottenSys의 감염의 추이는 다음과 같으며, 2017년 중반 이후에 단번에 증가하고 있다. Check Point Mobile의 조사에서는 2018년 3월 12일까지 496만 4450대의 감염이 확인 되었다는 것. 또한 조사가 진행될수록 C & C 서버가 발견되어 있기 때문에 실제 피해는 훨씬 더 많을 가능성이 있다고 Check Point Mobile은 지적하고 있다.
RottenSys에 의해 표시된 광고는 과거 10일만으로, 노출 수는 130만 회를 넘어 광고 수입은 11만 5000 달러 이상이 있다고 추측되고 있다.
RottenSys에 관한 프로그램을 특정하는 것은 일반 사용자에게는 매우 어려운 일이지만, 다음의 4개의 패키지 이름과 응용 프로그램 이름을 기준으로 하면 ok라는 것이다. 대상 패키지 이름을 Android 시스템의 응용 프로그램 설정에서 찾아내어, 제거하는 것을 Check Poit Mobile은 권장하고 있다.
