Spydealer

최근 연구결과에 의하면, 말웨어가 Google社의 어플리케이션 상점인 플레이스토어를 통해 유포되는 것이 아닌 감염된 무선네트워크를 통해 전파되는 것으로 나타나 모바일기기 활용실태에 큰 제약이 걸릴 수 있을 것으로 나타나 관련 내용을 살펴보고자 한다.

Palo Alto Networks社의 위협지능분석팀은 최근 약 40여개의 통신 어플리케이션들(왓츠앱, 페이스북, 스카이페 등)을 분석 데이터를 추출한 결과, 이들 어플리케이션에서 데이터를 추출하는 안드로이드형 말웨어를 발견하였다고 밝혔다. 일명 '스파이딜러'라 불리우는 이들 말웨어는 안드로이드의 접근성 서비스를 악용해 사용자의 연락처 세부정보와 기타 메일 및 개인 데이터를 도용하고 있었으며, 전화, 오디오 및 비디오 등을 녹화할 수 있을 뿐 아니라 사용자 위치를 모니터링하고 카메라 기능을 활성화시켜 사진을 찍을 수 도 있는 것으로 나타났다.
[참조: https://researchcenter.paloaltonetworks.com/2017/07/unit42-spydealer-android-trojan-spying-40-apps]

위의 악성코드는 Baidu Easy Root 어플리케이션을 사용해 사용자 기기에 안착하고 이후 지속적으로 그 동작을 수행하고 있는 것으로 나타났다. 또한 이 스파이딜러가 악용하고 있는 다수의 어플리케이션들은 종단 간 암호화 기법을 사용하고 있는 것으로 나타났는데, 이를 해결하기 위해 말웨어 제작자는 루트 권한을 사용해 화면에서 일반 메세지를 도용하기 위한 추가적인 접근서비스를 구현하기까지 한 것으로 나타났다고 한다.

이번에 발견된 사실은 해당 말웨어가 플레이스토어를 통해 배포되지 않고 있고, 중국의 손상된 무선네트워크를 통해 유포되고 있음이 밝혀졌는데, 발견된 명령제어서버 88개 모두 중국에 위치하고 있는 것으로 나타났으며, 3개는 미국에서 발견되었다고 한다.

현재 안드로이드 2.2버전에서 4.4버전까지만 확실한 효과를 보이고 있으며, 새로운 안드로이드형 기기에서도 그 효력을 발휘하지만 다수의 사용자 권한이 필요한 작업은 수행이 어려운 것으로 나타났다고 한다.

이처럼 악성코드들 또한 지속적으로 기술개발이 이루어져 지속적인 말웨어 변형체가 등장하고 있기에 사용자들의 보안성이 우려되고 있는 상황이 가중되고 있는 상황이라 볼 수 있겠다.

http://www.kosen21.org/info/globalNews/globalNewsDetail.do?articleSeq=2618

안드로이드용 악성코드 SpyDealer

PaloAlto 에 따르면 최근 발견된 안드로이드용 악성코드 SpyDealer 는 40개 이상의 앱에서 개인 민감정보를 추출할 수 있다고 발혔다. Android Accessibility service(안드로이드 접근성 서비스?)기능을 이용해 커뮤니케이션 앱들로 부터 민감정보를 훔칠 수 있고, 상엄용 루팅앱 Baidu Easy Root 를 이용해 루트권한을 획득, 지속적으로 감염기기에 남아있는다. UDP/TCP 및 SMS 를 통해 감염기기를 원격으로 제어할 수 있고, WeChat, Facebook, WhatsApp, Skype, Line, Viber, QQ, Tango, Telegram, Sina Weibo, Tecnecnt Weibo, 안드로이드 기본 브라우저, Firefox, Oupeng 브라우저, QQ Mail, NetEase Mail, Taobao, Baidu Net Disk 앱 등의 정보를 탈취하는 기능이 있다. 아직 구글 플레이스토어에 등록되진 않았지만, 무선 네트워크 등 다른 경로로 감염된 사용자가 있을수도. 안드로이드 2.2 ~ 4.4 버전에서만 동작한다.(Baidu Easy Root 의 서비스가능 버전) 이 버전은 전체 안드로이드 기기의 25%정도를 차지.

http://www.reversenote.info/2017-07-08-daily-security-issue/

최근 Palo Alto Networks 보안전문가는 새로운 형태의 Android 악성코드를 발견하였으며, 이를 SpyDealer라 명명했습니다. 

이 악성앱은 40여개 앱들의 데이터를 탈취하였으며, 그 중에는 위챗, QQ, 웨이보, feixin등 많은 중국인들이 사용하는 앱들이 상당부분 포함되어 있었습니다. 이에 이 악성앱이 중국 사용자들을 타겟으로 한 것이 아니냐는 추측이 나오고 있습니다. 

악성앱은 휴대폰을 감염시킨 후 루팅을 시도하는데, 루팅 성공률은 약 25%로 확인되었습니다. 하지만 루팅이 실패한 후에도, 다른 방법을 이용하여 정보를 수집합니다.

2800감염 된 안드로이드 폰에서 데이터 훔쳐

일단 기기를 감염 시키면, SpyDealer는 Baidu Easy Root라는 앱의 취약점을 악용해 루트 권한을 획득하려 시도하며, 이를 통하여 공격자는 감염 기기를 온전히 제어할 수 있게 됩니다. 이 악성앱은 UDP, TCP, SMS를 통한 원격 제어를 지원하고, 왓츠앱, 페이스북, 스카이프, 텔레그램, 파이어폭스 등의 다양한 앱들로부터 데이터를 훔칠 수 있습니다.

이 뿐만 아니라, SpyDealer는 해킹된 안드로이드 기기로부터 SMS 대화, 폰 번호, 계정, 통화 기록, 위치 등 개인 정보를 추출하는 것도 가능합니다. 기기를 원격으로 제어 가능한 공격자들은 카메라로 사진을 찍고, 전화 통화를 녹음하며, 스크린샷을 찍고, 심지어는 폰 주위에서 무슨 일이 일어나는지 도청할 수도 있습니다.

보안전문가들은 안드로이드 버전 2.2와 4.4는 SpyDealer에 완전히 노출되어 있으며, 이후 버전들도 취약하지만 보안 기능의 향상으로 인해 피해 규모는 비교적 적을 것으로 추측하였습니다. 

SpyDealer는 지금도 배포 되고 있는 것으로 추측됩니다. 

현재까지 이미 1,000개 이상의 샘플이 발견되었으며, 가장 오래된 것은 2015년 10월에 만들어졌다고 밝혔습니다.

현재 알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.FakeInst로 탐지하고 있습니다. 

출처: http://blog.alyac.co.kr/1206 [이스트시큐리티 알약 블로그]