전화를 하기 위해 Google Talk을 사용하는 안드로이드 멀웨어 발견
Android Malware Uses Google Talk to Make Mysterious Calls
보안 연구원들이 스톱워치 앱에 숨어 있는 안드로이드 트로이 목마인 Android/Trojan.Pawost를 발견했습니다.
이 악성 앱은 등록 되지 않은 번호에 전화를 걸기 위해 Google Talk를 사용하는 것으로 나타났습니다.
Pawost가 설치 되면, 스마트폰의 알림 영역에 Google Talk 아이콘을 표시합니다. 아이콘에는 아무런 텍스트가 표시 되어 있지 않으며, 이는 무언가 잘못 되었다는 증거이니 발견 즉시 앱을 삭제하여야 합니다.
설치 된지 몇분 후, 앱은 Google Talk 어플리케이션을 사용하여 몇 개의 번호에 전화를 걸기 시작합니다. Pawost가 전화를 걸고 있는 동안 CPU는 활동 하고 있지만, 폰의 스크린은 꺼진 상태이기 때문에 사용자는 인지할 수 없습니다. 여기서 수상한 점은, Pawost가 유효한 번호로 전화를 하고 있지 않다는 점 입니다. 모든 전화가 1-259로 시작했습니다.
+1을 미국 국가번호라고 가정했을 때, 유효한 번호로 전화가 연결 되지 않았습니다. 259가 미국 내에서 등록 된 국번이 아니기 때문에, 이 캠페인은 미국 유저들을 타겟으로 하고 있지 않은 것이 분명한 것으로 보였습니다.
Pawost가 포함 된 앱의 인터페이스가 중국어이기 때문에, Malwarebytes의 연구원들이 중국의 국가번호인 +86을 붙이자 테스트 전화가 유효한 번호로 연결 되었으나, 모든 번호가 통화 중으로 확인되었습니다. 이로 미루어 볼 때, 이 앱이 중국 유저만을 노리고 있다는 사실이 분명해 졌습니다.
Pawost는 위의 전화 기능뿐 아니라, 스파이웨어 기능도 갖추고 있습니다. IMSI 코드, IMEI 번호, CCID 식별자, 전화번호, 기기의 버전 정보, 기기에 설치 된 앱 리스트 등의 데이터를 수집할 수 있을 뿐만 아니라, 수집한 정보들을 암호화 하여 원격 서버로 전송합니다. 또한 SMS 메세지를 보내거나 차단하는 것도 가능했습니다. 이 SMS기능을 디컴파일한 소스코드에서 발견하였지만, 기능이 동작하는것은 확인하지 못했다고 하였습니다.
따라서 이 앱은 아직 개발 초기 단계인 것으로 보여집니다. 지금까지 살펴본 결과, Pawost는 미래에 중국 사용자들을 감염 시켜 추가요금이 붙는 전화번호에 전화나 문자를 보내는 안드로이드 트로이목마로, 멀웨어 개발자들이 돈을 벌 수 있도록 만들어질 것으로 추측됩니다.
현재 알약에서는 해당 악성앱에 대하여 Trojan.Android.Pawost로 탐지하고 있습니다.
출처 :
Librachive 취약점 발견! (0) | 2016.06.23 |
---|---|
Wget취약점(CVE-2016-4971) 발견! (0) | 2016.06.22 |
Acer온라인 쇼핑몰 고객정보 유출! (0) | 2016.06.21 |
Python urllib HTTP 헤더 인젝션 취약점 (0) | 2016.06.21 |
Windows DDE 프로토콜을 악용하는 최신 Flash 0 day취약점! (0) | 2016.06.20 |
댓글 영역