안드로이드 Chrysaor 악성앱, 수년동안 탐지되지 않아

안드로이드 Chrysaor 악성앱, 수년동안 탐지되지 않아

Android Chrysaor spyware went undetected for years

최근 최소 3년 동안 탐지되지 않았던 악성앱이 발견되었습니다. 

해당 앱의 제작자는 NSO Group로 추정되며, 매우 정교한 모바일 악성앱인 Chrysaor의 안드로이드 버전입니다. 보안 연구원들은 해당 앱의 자가삭제 기능으로 인해, 앱에 대해 자세하게 분석할 수 없었습니다. 

Chrysaor 악성앱은 현재 30개 이하의 안드로이드 기기에 설치된 것으로 확인되었습니다. Chrysaor는 주로 이스라엘, 그루지야, 터키, 멕시코, 아랍 에미레이트 등의 언론인 및  활동가들에 대한 APT 공격에 사용된 것으로 보입니다.

보안 연구원들은 해당 악성앱을 이스라엘의 NSO Group Technologies가 개발한 것으로 추측하고 있습니다. 해당 회사는 Pegasus iOS 악성앱 제작 회사이기도 합니다. 

Chrysaor 안드로이드 스파이웨어에는 다음의 기능들이 포함되어 있습니다. 

- 지메일, 왓츠앱, 스카이프, 페이스북, 트위터, 바이버, 카카오를 포함한 인기 있는 앱으로부터 데이터 탈취

- SMS 기반의 명령을 통해 기기를 원격으로 제어

- 라이브 오디오와 영상 녹음 및 녹화

- 키로깅 및 스크린샷 캡쳐

- 취약점 패치를 막기 위한 시스템 업데이트 비활성화

- 연락처, 텍스트 메시지, 이메일, 브라우저 히스토리 탈취

- 탐지를 피하기 위한 자가삭제

<이미지 출처 : http://securityaffairs.co/wordpress/57702/malware/android-chrysaor-spyware.html>

감시 회사인 NSO Group Technologies는 전세계 정부, 법 집행기관들에 최고의 감시 기술을 제공하고 있지만, 프라이버시 옹호론자들과 운동가들은 이들이 독재 정권에도 악성코드를 팔고 있다며 비난하고 있습니다. 

안드로이드용 Pegasus(즉 Chrysaor)는 아래의 경우 자기 자신을 삭제합니다.

- SIM MCC ID가 잘못 된 경우

- “antidote”파일이 존재할 경우

- 60일 후에도 서버에 체크인 할 수 없을 경우

- 서버로부터 자신을 삭제하라는 명령을 받은 경우

Chrysaor는 잘 알려진 안드로이드 루팅 익스플로잇인 Framaroot를 사용해 기기를 루팅하고, 모바일 기기 전체를 제어합니다. 

보안 연구원들은 2014년 Chrysaor 스파이웨어를 발견했습니다. 이는 NSO 그룹이 안드로이드 OS의 제로데이 취약점을 발견해 최신 버전의 Chrysaor 스파이웨어에 이 익스플로잇 코드를 적용했을 가능성이 있다는 것을 의미합니다. 

▶ 분석보고서 확인하기

현재 알약 안드로이드는 해당 악성앱에 대하여 Trojan.Android.InfoStealer.Chrysaor로 탐지하고 있습니다. 

출처 : 

http://securityaffairs.co/wordpress/57702/malware/android-chrysaor-spyware.html