1,000개 이상의 스파이웨어 앱, 안드로이드 앱 스토어에서 발견 돼

More than 1,000 Spyware Apps Found On Android App Stores

최근 구글 플레이 스토어와 써드파티 앱 스토어에 천 개가 넘는 악성 앱들이 업로드 된 것으로 나타났습니다. 이 악성 앱은 사용자가 모바일 기기에서 하는 거의 모든 행동들을 모니터링하고, 사용자의 특별한 액션 없이도 몰래 수신 전화를 녹음하고 발신할 수도 있습니다.

SonicSpy라 명명 된 이 스파이웨어는 메시징 앱으로 위장해 지난 2월부터 안드로이드 앱 스토어를 통해 공격적으로 확산되어 왔습니다. 이 앱은 실제로 메시징 서비스를 제공하기도 했습니다. 

많은 악성 기능을 탑재한 SonicSpy

SonicSpy 스파이웨어 앱은 마이크를 통해 은밀히 전화 내용 및 음성을 녹음하고, 기기의 카메라를 하이재킹해 사진을 찍고, 사용자의 허가 없이 발신 전화를 걸고 공격자가 선택한 전화번호로 문자 메시지를 보내는 등 다양한 악성 행동을 합니다.

이 외에도 전화 기록, 연락처, 감염 된 기기가 연결한 Wi-Fi 액세스 포인트 관련 정보(사용자의 위치 파악에 용이) 등 사용자의 정보를 훔칩니다.

구글 플레이 스토어에서 이 스파이웨어에 감염된 앱 세가지가 발견되었으며, 이 앱들은 이미 수 천회 이상 다운로드 된것으로 확인되었습니다.

문제의 앱 (Soniac, Hulk Messenger, Troy Chat)들은 플레이 스토어에서 삭제 되었지만, 이들을 포함한 다른 SonicSpy에 감염 된 앱들은 아직까지 써드파티 앱 스토어에서는 다운로드가 가능합니다.

보안 연구원들은 이 멀웨어가 이라크에 거주하는 개발자와 연관이 있다고 추측했으며, SonicSpy 멀웨어 패밀리가 공격자가 감염 된 안드로이드 기기에서 실행할 수 있는 73개의 서로 다른 원격 명령을 지원한다고 밝혔습니다.

SonicSpy 스파이웨어의 작동 방식

구글의 플레이 스토어에 업로드 된 SonicSpy에 감염 된 메시징 앱 중 하나는 Soniac이라는 커뮤니케이션 도구로 위장했습니다.

설치 되면, Soniac은 피해자로부터 자기 자신을 숨기기 위해 런처 아이콘을 스마트폰 메뉴에서 삭제하고, 변조 된 버전의 텔레그램 앱을 설치하기 위해 C&C 서버에 연결합니다.

하지만, 사실 이 앱은 공격자가 감염 된 기기의 거의 모든 권한을 얻어 수행할 수 있는 많은 악성 기능들을 포함하고 있습니다.

SonicSpy 감염 앱, 다시 플레이 스토어에 등록될 수 있어

연구원들은 SonicSpy에 감염 된 앱들이 지금은 플레이스토어에서 삭제 되었지만, 다른 개발자 계정을 이용하고 다른 앱 인터페이스로 다시 플레이스토어에 등록될 것이라고 추측했습니다.

연구원들은 “이 패밀리의 배후에 있는 공격자들은 그들의 스파이웨어를 공식 앱스토어에 등록할 수 있으며 현재도 적극적으로 개발 되고 있으며 빌드 프로세스가 자동화 되었기 때문에 SonicSpy가 앞으로 다시 등록 될 가능성이 있다.” 고 밝혔습니다.

현재 알약 안드로이드에서는 해당 악성앱들에 대하여 Trojan.Android.Ransom.Slocker, Spyware.Android.SpyNote, Spyware.Android.Agent로 탐지중에 있습니다.

출처 :

http://thehackernews.com/2017/08/android-spyware-apps-hack.html

https://blog.lookout.com/sonicspy-spyware-threat-technical-research