| iOS도 뚫렸다! 앱 개발자 피해발생 | 2014.09.12 | ||||||||||
75,000대 iOS 단말 감염 후 2,200만개 광고수익 가로채 \r\n앱 개발자 대신 해커에게 광고비를 보내도록 하는 악성코드(iOS/AdThief)가 탈옥된 75,000대 iOS 단말에서 발견됐다. 이는 앱 화면 하단 등에 광고 게재 시 앱 개발자에게 수익이 발생하는 프로세스를 이용한 것이다. \r\n해커는 광고 업체에 앱 개발자 아이디를 전송하는 함수를 후킹해 개발자 아이디 대신 자신의 아이디로 변경하는 방식으로 범행을 저질렀다. 현재까지 광고 업체는 해커의 아이디로 2,200만개 광고에 대한 비용을 지불한 것으로 파악되고 있다. \r\n
해커가 광고수익을 가로채기 위해 타겟팅한 광고 업체(Adkit)는 YouMi, Vpon, MobClick, Umeng, AdSage/MobiSage, MdotM, InMobi, Domob, AdWhirl, AdsMogo, Google Mobile, Ads SDK, AderMob, Weibo, MIX SDK and Poly SDK이며 대부분 중국 업체다. \r\n광고 수익을 가로채기 위해 타깃 대상이 된 15개 광고 업체는 다음과 같으며 후킹된 모듈(클래스 명 등)은 표를 참조하면 된다. \r\n
VirusBulletin은 악성코드 소스코드에서 해커의 작업경로명을 발견했으며, 이를 통해 개발자 이름이 Rover12421일 것으로 판단하고, 이를 추적한 결과 해커의 블로그, 이메일 등을 확인했다. \r\n※ 발견된 작업 경로명 : Users/Rover12421/Library/Developer/Xcode/DerivedData/SpAd- krggjdyjwgdpkbqd/Build/Intermediates/SpAd.build/Release-iphoneos/SpAd.build/Objects-normal/ armv7/SpAd.o. \r\nRover12421 해커에게 문의한 결과, 해당 소스코드는 spad iOS 프로젝트 일환으로 과거에 개발했으며 현재는 관련돼 있지 않다고 응답한 것으로 알려졌다. \r\n악성코드는 MSHookMessageEx를 통해 YouMi 업체의 정상 adViewWithContentSizeIdentifier:delegate: 함수를 후킹하고 해커가 제작한 logos_meta_method__undgoruped_YouMi(생략) 함수를 호출했다. \r\n
해커가 제작한 함수를 살펴보면, setAdUnitID:를 자신의 ID인 a1521215ab55cd2로 변경해 광고수익을 가로채는 것을 볼 수 있다. \r\n
보다 자세한 사항은 한국인터넷진흥원 인터넷침해대응센터나 아래의 출처를 참고하면 된다. \r\n[출처] [민세아 기자(boan5@boannews.com)] \r\n<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||||||||||
 |
.jpg)
.jpg)
