삼성, 화웨이, 샤오미, 오포 등 스마트폰에 말웨어가 인스톨되어서 출하된다

삼성, 화웨이, 샤오미, 오포 등 스마트폰에 말웨어가 인스톨되어서 출하된다

사용자 허락없이 광고를 표시하는 말웨어가 사전 설치된 상태로, Samsung이나 Huawei등 Android 스마트폰이 출하된 것이 밝혀졌습니다. 말웨어가 혼입한 상태로 출하된 단말은 500만대까지 오르는 것 같습니다.

보안 대책회사 Check Point Mobile은 「RottenSys」이라고 명명한 말웨어가 500만대 가까이 Android 단말에 사전 설치되고 있었던 것을 밝혔습니다. RottenSys이라고 하는 이름은, 말웨어가 발견 당초에 「System Wi-Fi service」로서 위장되고 있었던 것부터 명명되었습니다.

최근, Xiaomi 염가 스마트폰 「Redmi」시리즈에, System Wi-Fi service를 자칭하는 앱이 눈에 띄게 된 것부터, Check Point Mobile 엔지니어가 조사한 결과, 앱이 안전한 Wi-Fi 관련 서비스를 제공하는 대신에 Wi-Fi 서비스와 무관계인 액세서빌리티 허가나 캘린더에 액세스 허가, 백그라운드에서 다운로드 허가 등, 기밀성이 높은 사항에 액세스 허가를 요구하는 것을 알게 되었습니다.

RottenSys는 악의가 있는 앱인 것을 간파되지 않도록, 당초는 곧바로 활동을 하지 않도록 설정되고 있어, 대신에 C&C 서버에 접속하고, 악의 있는 코드를 포함하는 추가 컴포넌트 목록 리스트를 송신하고, C&C 서버에서 컴포넌트를 다운로드합니다. 필요한 컴포넌트가 모두 다운로드되면, Android 앱의 가상화 프레임워크 「Small」을 사용해서 컴포넌트를 병행되어서 실행하고, 홈 화면이나 팝업 윈도우, 풀 스크린 광고를 표시하게 됩니다. 한편, RottenSys는 광고 표시를 하기 위해서 중국 Tencent 광고 플랫폼 「Guang Dian Tong」과 중국 Baidu 「Baidu ad exchange」에 접속합니다.

Xiaomi 단말에 RottenSys에 의해 광고가 표시되었다라고 하는 투고로, 이렇게 광고가 표시됩니다.

Check Point Mobile은, RottenSys의 유입 경로에 대해서도 조사하고, 「天湃浅装」「天湃面」이라고 하는 중국·항저우에 거점을 차리는 휴대전화판매 대리점 「Tian Pai」와 관련을 시사하는 단서를 발견했습니다. Check Point Mobile에 의하면, 조사로 찾은 RottenSys에 감염한 단말에 49.2%이 Tian Pai 판매 채널로 출하된 것이다고 합니다.

한편, RottenSys가 인스톨된 단말은 아래와 같습니다. 서브 브랜드 Honor를 포함시켜서 Huawei가 톱, 그 후에 Xiaomi, Oppo, Vivo, Meizu, LeEco, Coolpad, Gionee등 중국 기업, 또, 삼성 단말도 포함되어 있습니다.

RottenSys의 감염 추이는 아래와 같습니다. 2017년 중기이후에 단숨에 늘어나고 있습니다. Check Point Mobile이 조사한 결과에서는, 2018년3월12일까지 496만4460대가 감염되었다고 확인. 한편, 조사가 진보될 때마다 C&C 서버가 발견되기 때문에, 사실은 피해가 훨씬 많은 가능성이 있다고 Check Point Mobile이 지적했습니다.

RottenSys에 의해 표시된 광고는 과거 10일것만으로, 임프레션수는 130만회를 넘고, 광고 수입은 11만5000달러 (약1억2000만원)이상이 되고 있다고 추측되고 있습니다.

RottenSys에 관한 프로그램을 특정하는 것은 일반 사용자에게는 대단히 어려운 것입니다만, 아래에 있는 패키지명 4개와 앱명을 기준으로 하면 됩니다. 대상 패키지명을 Android 시스템에서 앱 설정으로 찾고, 언인스톨하는 것을 Check Point Mobile이 권장하고 있습니다.