안녕하세요. 1주일전 소식인데, 이제야 확인을 했습니다.
- github 에 올라가 있는 tmap apk는 삭제 했습니다.
- 이유는 현재 tmap이 Malware(악성앱) 입니다. 아래 두개 기사를 확인 해보시면 됩니다.
- 엘포인트, 롯데시네마, 곰 등 감염시킨 골도슨 멀웨어, 1억 회 다운로드 돼 (boannews.com)
- Goldoson: Privacy-invasive and Clicker Android Adware found in popular apps in South Korea | McAfee Blog
- 작업했던 9.15 버젼도 악성 앱이 감염되어 있음을 확인 했습니다.
- tmap/nepkt_hrnRzCx.smali at v9.15.0 · flywithu/tmap (github.com)
이번 악성앱건은 오염된 라이브러리를 사용한 것이 아니라, 내부 또는 외주 개발자가 고의적으로 감염시킨것으로 생각 됩니다.
McAfee에서 발표한 문제 도메인리스트 입니다.
그리고 Tmap의 코드를 보면 아래 파일에 해당 도메인이 있습니다. 이 클래스의 네임스페이스는 SKlib 입니다. 즉 내부 라이브러리임을 알 수 있습니다.
그러면 과연 언제 부터 이 라이브러리가 사용 되었을까요? bhuroid 의 도메인을 확인해보면.. 2020년 생성했고, 한국에서 만들어진 도메인입니다.
그래서 한국의 앱들이 이 Malware를 가지게 된 이유를 상상해볼수 있습니다.
TMAP 8 에서도 해당 코드가 있는 것을 확인 하였고, 꽤 오래전 부터, 수년간 Tmap에 악성코드를 탑재해서 제공 되었을것으로 예상됩니다.
위 McAfee를 들어가 보면 많은 한국앱들이 감염되어 있습니다. 개인적인 생각으로는 엄청난 개발자 또는 그룹이 있고, 그들이 한국의 앱들은 다 만드나 보네요. 그러면서 .. 이런거를 심은거가 아닐까 싶습니다. 이렇게 광고 클릭했으면.. 엄청 부자가 되었을듯….;;;;;;
그런데 TMobile 코드를 정적 분석 같은거 안하나 !!
그런거에서 이상한 String 충분히 검색할 수 있지 않나.
그리고 몇년동안 이랬으면 최소한 자세한 내용을 알려 줘야 하지 않나.
그냥 ‘버그 수정’ 을 수정사항이라고 하고 업데이트 하다니.
시간이 남을때 최신 Tmap에 기존 수정 사항들 적용해서 배포 하겠습니다. ㅠㅠ
아래는 문제 앱 리스트 입니다. 상단의 McAfee에서 모든 목록을 받을수 있습니다.
(GP: Status가 Updated는 Playstore 에서 업데이트가 되었다는 것이고,
Removed는 Playstore 에서 삭제 되었다는 것입니다. )
