시스템 업데이트로 위장해 사용자를 스파잉하는 새로운 안드로이드 악성코드 발견

 

 

New Android malware spies on you while posing as a System Update

 

감염된 안드로이드 기기에서 데이터를 훔치는 광범위한 스파이웨어 기능을 갖춘 새로운 악성코드가 발견되었습니다. 이 악성코드는 새로운 정보를 읽을 경우 유출을 위해 자동으로 트리거되도록 설계되었습니다.

 

이 스파이웨어는 타사 안드로이드 앱 스토어에서 ‘시스템 업데이트’ 앱으로 설치되며, 구글의 공식 플레이스토어에는 등록되지 않았습니다.

 

악성코드, 거의 모든 정보 훔쳐

 

이 RAT은 광범위한 정보를 수집하여 명령 및 제어 서버로 유출하는 기능을 포함하고 있었습니다.

 

이를 발견한 Zimperium의 연구원들은 해당 악성코드가 “데이터, 메시지, 이미지를 훔치고 안드로이드 기기를 제어하는 것”을 관찰했다고 밝혔습니다.

 

“해커들은 기기의 제어 권한을 얻게 되면 오디오 및 전화를 녹음하고, 사진을 찍고, 브라우저 히스토리를 확인하고, 왓츠앱 메시지에 접근하는 등의 행동을 수행할 수 있습니다.”

 

Zimperium은 해당 데이터 탈취 기능이 아래를 포함하고 있다고 밝혔습니다.

 

- 인스턴트 메신저의 메시지 탈취
- 인스턴트 메신저의 데이터베이스 파일 탈취(루트 권한을 얻었을 경우)
- 기본 브라우저의 북마크와 검색 기록 검사
- 구글 크롬, 모질라 파이어폭스, 삼성 인터넷 브라우저의 북마크 및 검색 기록 검사
- .pdf, .doc, .docx, and .xls, .xlsx를 포함한 특정 확장자 파일 탐색
- 클립보드 데이터 검사
- 공지 내용 검사
- 오디오 녹음
- 전화 통화 녹음
- 주기적으로 사진 촬영 (전면 또는 후면 카메라 사용)
- 설치된 애플리케이션 목록 열람
- 이미지 및 영상 탈취
- GPS 위치 모니터링
- SMS 메시지 탈취
- 전화 연락처 탈취
- 통화 기록 탈취
- 기기 정보 유출 (설치된 앱 목록, 기기 명, 저장소 통계 등)

 

이 악성코드가 안드로이드 기기에 설치되면, Firebase 명령 및 제어(C2) 서버로 저장소 통계, 인터넷 연결 타입, 왓츠앱 등 다양한 앱의 존재 여부 확인 등을 포함한 여러 조각으로 이루어진 정보를 보냅니다.

 

이 스파이웨어는 루트 액세스 권한이 있는 경우 데이터를 직접 수집하고, 그렇지 않을 경우 사용자가 해킹된 기기에서 접근성 서비스를 활성화하도록 속인 후 이를 활용합니다.

 

또한 외부 저장소에 저장되었거나 캐시된 데이터가 있는지 확인 후 수집하여 사용자가 Wi-Fi를 연결할 때 C2 서버로 이를 전송합니다.

 

잘 보이는 곳에 숨겨

 

데이터를 훔치도록 설계된 다른 악성코드와는 달리, 이 악성코드는 새로운 연락처 추가, 새로운 텍스트 메시지 수신, 새로운 앱 설치 등 일부 조건이 성립할 경우에만 안드로이드의 contentObserver 및 Broadcast 리시버를 통해 트리거됩니다.

 

Zimperium은 아래와 같이 언급했습니다.

 

“Firebase 메시징 서비스를 통해 수신된 명령은 마이크를 통한 오디오 녹음, SMS 메시지 등의 데이터 유출과 같은 작업을 시작합니다. Firebase 통신은 명령을 발행하는데만 사용되며, POST 요청을 통해 훔친 데이터를 수집하는데는 전용 C2 서버가 사용됩니다.”

 

이 악성코드는 악성 행위를 숨기기 위해 마스터로부터 새로운 명령어를 수신할 경우 가짜 시스템 알림인 “업데이트 찾는 중” 메시지를 표기합니다.

 

 

<이미지 출처 : https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/>

<가짜 시스템 업데이트 경고>

 

 

또한 이 스파이웨어는 서랍/메뉴에서 아이콘을 숨겨 감염된 안드로이드 기기에서 자신의 존재를 숨깁니다.

 

이는 탐지를 회피하기 위해 발견한 영상 및 이미지의 썸네일만 훔치므로 피해자의 대역폭 소비를 줄여 백그라운드에서 이루어지는 데이터 유출 활동이 발각되지 않도록 합니다.

 

대량으로 데이터를 수집하는 다른 악성코드와는 달리, 이 악성코드는 가장 최근 데이터만 추출합니다. 이는 지난 몇 분간의 위치 데이터 및 활영된 사진만을 수집하는 것으로 나타났습니다.

 

현재 이스트시큐리티 알약M에서는 관련 안드로이드 악성코드 샘플을 'Spyware.Android.Agent'로 탐지 중입니다. 

 

 

 

 

 

출처:

https://www.bleepingcomputer.com/news/security/new-android-malware-spies-on-you-while-posing-as-a-system-update/

https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/