플레이 마켓에서 악성 NoVoice가 포함된 수십 개의 앱을 발견했으며, 이는 230만 명의 사용자가 다운로드했습니다
구글 플레이 마켓에서 50개 이상의 *NoVoice* 악성코드를 포함한 앱이 발견되었습니다.
- 바이러스는 Android(2016‑2021) 알려진 취약점을 이용해 루트 권한을 획득합니다.
- 다운로드 수는 230만 건 이상입니다.
- 앱은 사진 갤러리, 게임 및 “정리” 유틸리티처럼 보이지만 의심스러운 권한을 요구하지 않습니다.
McAfee 전문가들은 위협이 존재함을 확인했으나 특정 공격자를 식별하지 못했습니다. 이 바이러스는 트로이 *Triada*와 유사합니다.
NoVoice 작동 방식
| 단계 | 발생 내용 | 감염 |
|---|---|---|
| 악성코드 삽입 | `com.facebook✴.utils` 패키지에 Facebook SDK처럼 위장한 악성코드를 넣습니다. 암호화된 부하(`enc.apk`)는 PNG 이미지 내부에 숨겨져 있으며, 여기서 `h.apk` 파일을 추출해 메모리에 로드합니다. 그 후 모든 임시 파일이 삭제됩니다. | |
| 감염 조건 | 기기가 베이징 또는 선전(중국)으로 식별되고 15개의 에뮬레이터, 디버거 및 VPN 검사에 통과하면 프로세스가 중단됩니다. 그렇지 않으면 계속 진행합니다. | |
| 정보 수집 | 악성코드는 원격 서버와 연결해 커널 버전, Android 버전, 설치된 앱 목록, 루트 상태를 전송합니다. 요청은 60초마다 반복됩니다. | |
| 익스플로잇 | McAfee는 22개의 익스플로잇(커널 버그, 메모리 누수, Mali 드라이버 취약점)을 발견했습니다. 이들은 루트 셸을 열고 SELinux를 비활성화합니다. | |
| 지속적 존재 | 루트를 획득한 후 악성코드는 `libandroid_runtime.so`와 `libmedia_jni.so` 시스템 라이브러리를 교체하고, 복구 스크립트를 만들며, 오류 처리기를 덮어쓰고, 백업 부하를 시스템 파티션에 저장합니다(리셋 시 삭제되지 않음). 60초마다 루트킷 무결성을 검사하는 감시 데몬이 실행됩니다. |
기능 모듈
1. 숨겨진 앱 설치/삭제
2. 모든 인터넷 애플리케이션에 연결해 데이터 탈취(주로 WhatsApp)
- 메신저를 열면 베이스, 암호화 키, 전화번호 및 Google Drive 백업을 수집해 관리 서버에 전송합니다. 이를 통해 공격자는 WhatsApp 세션을 복제할 수 있습니다.
모듈성
바이러스는 장치의 다른 애플리케이션용으로 다양한 유틸리티를 활용할 수 있습니다.
보호 조치
- 2021년 5월 이후 업데이트된 기기는 이미 취약점이 패치되어 더 이상 위험하지 않습니다.
- Google Play Protect가 자동으로 발견된 앱을 삭제하고 신규 설치를 차단합니다.
- 사용자들은 정기적으로 모든 보안 업데이트를 설치하는 것이 권장됩니다.
결론
*NoVoice*는 오래된 Android 취약점을 이용해 루트 권한을 획득하고, 은밀히 감염하며 인기도 있는 애플리케이션에서 데이터를 탈취하는 복잡한 루트킷입니다. 보호는 시기적절한 패치와 Play Protect 사용에 달려 있습니다.
Asted Cloud
댓글 (0)
의견을 남겨 주세요. 예의를 지키고 주제에서 벗어나지 말아 주세요.
댓글을 남기려면 로그인