Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보광고 라이브러리 SDK에 포함된 Xavier 악성코드
작성일 2017-06-30 조회 1174

 

개요
Google Play에서 수백만 번 다운로드 한 800 개 이상의 응용 프로그램을 광고 라이브러리 SDK에 포함된 애드웨어이다.
현재는 Google Play 애드워드가 포함된 앱은 전부 삭제되었다.
설치하게 될 경우 특정 서버에서 추가적인 파일을 다운로드 한 후 다수의 정보를 수집하여 C&C 서버로 암호화 하여 전송한다.
수집 정보 내역
- SIM 카드 국가, 모델, OS 버전, 장치이름, 설치된 앱, 이메일 주소 등 다수의 정보

 

확인 내역
Xavier의 첫 번째 버전은 APK 설치 및 루트 검사를 제거했지만 TEA 알고리즘으로 데이터 암호화를 추가하였다.

 

[그림1. 데이터 암호화 내역, 출처:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/]

 

실행되게 되면, 암호화 된 C&C 서버 hxxps://api-restlet.com/services/v5/ 및 에서 초기 구성을 가져온다.
초기 구성을 가져오게 되면 추가적인 파일을 다운로드하게 되는데
hxxp://cloud.api-restlet.com/modules/lib.zip 을 받은 후에 해당 파일에 APK 파일 형식인 0x50,0x4b (PK)를 추가한다.

 

[그림2. 파일 다운로드 요청 내역]

 

[그림3. 파일 내역]

 

해당 파일을 확인해보면 classes.dex 파일이 있는것을 확인 할 수 있다.

해당 dex 파일을 통해 기기 정보를 수집한 후에 암호화하여 C&C 서버로 전송한다.

 

[그림4. 수집 내역, 출처:http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/]


대응 방안
1) 정상앱에 포함되어 있는 형태의 경우 사용자가 대응하기는 힘드나, 최신버전의 앱을 사용하면 어느정도 대응이 가능하다.

 

2) Sniper IPS 에서는 아래와 같은 패턴으로 대응 가능하다.

[IPS 패턴블럭] : 3538, Android/Adware.Xavior.4679565

 

3) Snort 패턴은 시큐어캐스트에서 확인 가능하다.

 

출처
http://blog.trendmicro.com/trendlabs-security-intelligence/analyzing-xavier-information-stealing-ad-library-android/
https://documents.trendmicro.com/assets/appendix--analyzing-xavier-an-information-stealing-ad-library-on-android.pdf

 

첨부파일 첨부파일이 없습니다.
태그 Xavier   안드로이드  악성코드