| iOS 단말 감염 후 광고수익 가로챈 악성코드 등장 | 2014.09.12 | ||||||||||
75,000대 iOS 단말 감염 후 2,200만개 광고수익 가로채 [보안뉴스 민세아] 앱 개발자 대신 해커에게 광고비를 보내도록 하는 악성코드(iOS/AdThief)가 탈옥된 75,000대 iOS 단말에서 발견됐다. 이는 앱 화면 하단 등에 광고 게재 시 앱 개발자에게 수익이 발생하는 프로세스를 이용한 것이다. 해커는 광고 업체에 앱 개발자 아이디를 전송하는 함수를 후킹해 개발자 아이디 대신 자신의 아이디로 변경하는 방식으로 범행을 저질렀다. 현재까지 광고 업체는 해커의 아이디로 2,200만개 광고에 대한 비용을 지불한 것으로 파악되고 있다.
▲악성코드를 이용해 광고수익을 가로채는 과정 해커가 광고수익을 가로채기 위해 타겟팅한 광고 업체(Adkit)는 YouMi, Vpon, MobClick, Umeng, AdSage/MobiSage, MdotM, InMobi, Domob, AdWhirl, AdsMogo, Google Mobile, Ads SDK, AderMob, Weibo, MIX SDK and Poly SDK이며 대부분 중국 업체다. 광고 수익을 가로채기 위해 타깃 대상이 된 15개 광고 업체는 다음과 같으며 후킹된 모듈(클래스 명 등)은 표를 참조하면 된다.
▲타깃 대상 광고 업체
▲후킹된 모듈(클래스 명 등) VirusBulletin은 악성코드 소스코드에서 해커의 작업경로명을 발견했으며, 이를 통해 개발자 이름이 Rover12421일 것으로 판단하고, 이를 추적한 결과 해커의 블로그, 이메일 등을 확인했다. ※ 발견된 작업 경로명 : Users/Rover12421/Library/Developer/Xcode/DerivedData/SpAd- krggjdyjwgdpkbqd/Build/Intermediates/SpAd.build/Release-iphoneos/SpAd.build/Objects-normal/ armv7/SpAd.o. Rover12421 해커에게 문의한 결과, 해당 소스코드는 spad iOS 프로젝트 일환으로 과거에 개발했으며 현재는 관련돼 있지 않다고 응답한 것으로 알려졌다. 악성코드는 MSHookMessageEx를 통해 YouMi 업체의 정상 adViewWithContentSizeIdentifier:delegate: 함수를 후킹하고 해커가 제작한 logos_meta_method__undgoruped_YouMi(생략) 함수를 호출했다.
▲MSHookMessageEx를 통함 광고 관련 함수 후킹 모듈 해커가 제작한 함수를 살펴보면, setAdUnitID:를 자신의 ID인 a1521215ab55cd2로 변경해 광고수익을 가로채는 것을 볼 수 있다.
▲해커가 제작한 트윅에서 아이디를 변경하는 함수 보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터나 아래의 출처를 참고하면 된다. [출처] [민세아 기자(boan5@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||||||
 |
