AdBlocker(광고차단기) HotPage 애드웨어 보안 이슈

광고와 차단 및 악성 웹사이트를 차단 해준다는 앱이 오히려 큰 보안 체계에 큰 구멍을 뚫는 커널 드라이버를 조용히 설치하고 네트워크 트래픽을 가로채서 조작까지 할 수 있는 두 개의 라이브러리를 포함하고 있다고 합니다. 이 악성코드의 이름은 “HotPage”로 지어졌는데, 작년 말에 ESET에서 발견했다고 합니다.

또 중국이야?

이 악성코드는 요청한 페이지를 수정 및 교체도 가능하고 다른 페이지로 보낼 수도 있다고 합니다. 한마디로 ‘구글’을 쳤는데 ‘구걸’로 들어가버리는거죠.

거기다 시스템 정보를 수집해서 <Hubei Dunwang Network Technology Co., Ltd (湖北盾网网络科技有限公司)>와 관련된 서버로 전송되도록 설계되었다고 합니다. 민폐.. 민폐.. 정말..

그리고 아래는 이 악성코드에 대해서 보도된 뉴스 내용을 요약한 것 입니다.

악성코드가 하는 짓

이 악성 코드는 드라이버를 통해 아래와 같이 수행 된다. 심지어 이 드라이버는 마이크로소프트의 코드 서명 요구사항을 통과해 EV(Extended Verification) 인증서를 받은 상태였다고 해요. (2024년 5월 1일에 Windows Server 카탈로그에서 삭제 됨)

  1. 웹 브라우저 : 브라우저 애플리케이션에 라이브러리를 주입 후 접속하는 URL을 변경 or 리디렉션 (새로운 웹 브라우저 인스턴스의 홈페이지를 구성 파일에 지정된 특정 URL로 리디렉션.) – 게임 관련 광고 표시 및 시스템 정보를 중국 회사로 전송.
  2. 시스템 : 비권한 계정을 가진 공격자가 높은 권한을 획득하고 NT AUTHORITY\System 계정으로 코드를 실행 가능

결론

차단, 보호 이런 기능을 가진 소프트웨어는 꽤 많을 권한을 요구하기도 하고, 그만큼 나쁜 마음 먹으면 많은 짓을 할 수 있습니다. 검증된거 아니면 사용하지 않는게 좋다고 생각해요.

이 프로그램은 일반적인 방법으로 배포되진 않은 것 같습니다. 보안 솔루션으로 광고되었다고 하는데 아마 한국인 일반 유저들이 접했을 확률은 매우 낮을거라고 생각합니다.

그럼에도 불구하고 굳이 포스팅 한 이유는, 진짜 검증받은거 아니면 함부로 사용하지 않는 것이 이것저것 쓰는 것 보다 더 안전하다고 생각하기 때문에, 이런 글을 한 번이라도 더 보시면 좋을 것 같아서 썼습니다.

3 Comments

  1. 유니콘프로라는 광고차단앱을 유료구입하여 사용하고 있습니다.
    많은 권한과 인증서까지 설치했는데요, 사용하면서도 찝찝한데, 믿을만한 회사인가요?(앱도 스토어에도 받는 형식이 아니고 apk파일로 다운하는 방법입니다)

    1. 네 한국회사이고 유저수도 꽤 많습니다. 지금까지 개인정보관련 이슈는 제가 알기론 없었던것으로 기억합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다