상세 컨텐츠

본문 제목

해커 그룹, NoxPlayer 안드로이드 에뮬레이터에 악성코드 삽입해

국내외 보안동향

by 알약4 2021. 2. 2. 09:00

본문

 

 

Hacker group inserted malware in NoxPlayer Android emulator

 

알려지지 않은 해킹 그룹이 인기있는 안드로이드 에뮬레이터의 서버 인프라를 해킹해 고도의 타깃형 공급망 공격을 통해 소수의 아시아 사용자에게 악성코드를 배포한 것으로 나타났습니다.

 

이 공격은 보안 회사인 ESET에서 지난 125일 발견했으며, 안드로이드 앱을 윈도우나 맥OS에서 에뮬레이팅하는 소프트웨어 클라이언트인 녹스플레이어(NoxPlayer)를 개발하는 회사인 BigNox를 노린 것으로 나타났습니다.

 

ESET은 연구원들이 수집한 증거에 따르면, 공격자는 회사의 공식 API 중 하나 (api.bignox.com)와 파일 호스팅 서버 (res06.bignox.com)를 해킹한 것으로 드러났습니다.

 

해커는 녹스플레이어 사용자들에게 악성코드를 배포하기 위해 이 접근 권한을 이용하여 녹스플레이어 업데이트 다운로드 URL을 조작했습니다.

 

선택된 피해자들에게 배포된 맞춤형 악성 업데이트에서 악성코드 패밀리 3개가 발견되었습니다. 이 악성코드는 금전적 이득이 아닌 감시 관련 기능을 포함하고 있었습니다.”

 

ESET은 증거 확인 결과 공격자는 적어도 20209BigNox 서버에 접근했으며, 회사의 모든 사용자를 노리지 않고 특정 기기에만 집중했습니다. 이로써 특정 부류의 사용자들만 감염시키는 고도의 타깃형 공격으로 추정할 수 있습니다.

 

ESET은 자체 원격 측정 결과 악성코드를 포함한 녹스플레이어 업데이트는 대만, 홍콩, 스리랑카에 위치한 피해자 5명에게만 전달되었다고 밝혔습니다.

 

 

<이미지 출처 : https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/>

 

 

ESET은 보고서를 통해 녹스플레이어 관련 기술적 정보를 발표하며 악성코드가 포함된 업데이트를 받았는지 여부를 확인하고 악성코드를 제거하는 방법을 공개했습니다.

 

BigNox 측에도 사건과 관련하여 코멘트를 요청했으나 아직까지 답변을 받지 못한 상태인 것으로 나타났습니다.

 

연구원들은 이 사건을 잘 알려진 해킹 그룹과 연관되어 있다고 공식적으로 발표하지 않았습니다.

 

이 사건이 정부 지원 해킹 그룹의 작업인지, 아니면 금전 이득을 목표로 게임 개발자를 해킹하려는 그룹의 작업인지는 아직까지 확실히 밝혀지지 않았습니다.

 

하지만 연구원들은 악성 녹스플레이어 업데이트를 통해 배포된 악성코드 변종 3가지가 2018년 미얀마 대통령 사무실 웹사이트를 이용한 공급망 공격과 2020년 초 홍콩 대학에 침투하는데 사용된 다른 악성코드 변종과 일정 부분이 유사함을 발견했다고 밝혔습니다.

 

 

현재 알약에서는 해당 악성코드 샘플에 대해 Trojan.Dropper.Agent, 'Trojan.Agent.Injector.Gen' 등으로 탐지 중입니다.

 

 

* 업데이트 내용 추가 

<이미지 출처 : https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/>

 

 

ESET 연구 보고서 공개 이후, BigNox 측에서 연락을 취해왔으며 초기 감염 사실 부정에 대한 입장은 오해였음을 밝혔습니다. 또한 사용자 보안을 위해 다음과 같은 조치를 취한 사실도 전달 받았습니다.

1. 도메인 하이재킹 및 MitM(중간자 공격) 위협을 최소화하기 위해 소프트웨어 업데이트 전달시 'HTTPS'만 사용

2. MD5 해시 및 파일 서명 검사를 통해 파일 무결성 검사 실행

3. 사용자 개인정보 노출을 방지하기 위해 민감 데이터 암호화 등 추가 보안 조치 적용

BigNox 측은 또한 NoxPlayer 업데이트 서버에 최신 파일 적용을 완료했고, PC 시작시에 NoxPlayer가 이전에 사용자 PC에 설치된 애플리케이션 파일에 대한 검사를 실행할 것이라고 덧붙였습니다.

* ESET은 BigNox에서 제공한 정보의 정확성에 대한 책임을 지지 않습니다.

 

 

 

 

 

출처:

https://www.zdnet.com/article/hacker-group-inserted-malware-in-noxplayer-android-emulator/

https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-online-gaming-asia/

저작자표시 비영리 변경금지

'국내외 보안동향' 카테고리의 다른 글

랜섬웨어, 가상 머신 디스크를 암호화하기 위해 VMWare ESXi 취약점 악용해  (0) 2021.02.03
구글, Libgcrypt 암호화 라이브러리의 심각한 취약점 공개  (0) 2021.02.02
Apache, Oracle, Redis 서버를 통해 전파되는 Pro-Ocean 악성코드  (0) 2021.02.01
Fonix 랜섬웨어, 활동 중단 후 마스터 복호화 키 공개해  (0) 2021.02.01
피싱 양식을 동적으로 생성하는 새로운 피싱 킷인 LogoKit 발견  (0) 2021.01.29

관련글 더보기

댓글 영역

티스토리툴바