포스팅 내용

악성코드 분석 리포트

Misc.Android.InfoStealer 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.


최근 안드로이드 기기의 성능이 발전하면서 그 쓰임새가 다양해지고 있습니다. 특히, 폭넓은 종류의 게임들이 출시되면서 미니 게임기를 대체하는 추세 입니다. 이에 게임을 더욱더 재미있고 쉽게 즐길 수 있도록 도와주는 관련 주변 기기들도 다양해지고 있습니다. 그 중에서도 복잡하고 빠른 게임의 이용을 돕는 게임패드의 활용이 빠르게 증가하고 있습니다. 대부분의 게임패드는 중국에서 수입되고 있으며 중국 제조사의 설정 앱과 연동을 하여야 원활한 사용이 가능합니다.


그런데, 문제는 이 설정 앱에서 과도한 권한을 요구하고 있으며 이러한 권한을 이용하여 사용자 몰래 기기 정보를 수집하고 전송하는데 있습니다.

 

이제부터 사용자 정보를 훔쳐가는 해당 악성앱 'Misc.Android.InfoStealer'를 분석 해보도록 하겠습니다.



악성코드 상세 분석


다음 그림은 모바일 게임을 문제의 게임패드로 플레이하는 장면이며, 안드로이드 기기에 게임패드를 착용하여 게임을 진행하게 됩니다. 기기와의 연결은 블루투스를 이용합니다.


[그림 1] 게임패드 사용


기기와 연결된 게임패드의 키 맵핑 기능을 활용하기 위해서는 제조사에서 제공하는 설정 앱을 설치하여야 합니다. 설정앱과 설명서는 제작사의 홈페이지에서 받을 수 있습니다. 그러나 설명서와 제작사 홈페이지 어디에서도 기기와 사용자 정보를 수집한다는 내용을 찾아 볼 수 없었습니다.

   

 

[그림 2] 설명서 및 다운로드 홈페이지


설정앱 설치를 진행하면 사용자에게 기기 상태, 인터넷 등 무려 30개에 달하는 권한을 요구 합니다.

 

[그림 3] 요구 권한


해당 앱은 위의 권한을 활용하여 다양한 사용자 정보를 수집하고 수집된 정보를 제조사의 서버로 전송합니다. 수집 및 전송 되는 정보는 다음과 같습니다.


1. 디바이스 정보: 기기 아이디 / 브랜드 / 제조사 / 기기 모델 정보 / 망사업자 정보 / 기기 사용 국가  / 네트워크 사업자 정보 / GSM 관련 정보

2. 위치 정보: 국가 / 언어 / 위도 /경도

3. 네트워크 정보: 네트워크 활성화 여부 / 종류 (데이터, 와이파이)

4. 주변 맥 주소 수집

5. 기기에서 실행되고 있는 앱 정보

6. 기기에 설치되어 있는 앱 패키지명 리스트

7. CPU 정보 수집: 프로세서 타입 / 특징 / 제조사 / 시리얼

  

[그림 4] cpu 정보


앱 설치 후 실행을 하게 되면 최고 관리자 권한 획득을 시도 합니다. 최고 관리자 권한을 획득하면 기기를 편하게 조작할 수 있도록 도와주는 “busybox”를 활용하여 폴더 생성, 권한 부여, 파일 복사 등을 수행하게 됩니다.

  

[그림 5] 최고관리자 권한 요청

 

“busybox”프로그램은 해당 앱 내부의 “assets” 폴더에 포함되어 있습니다.  다음 그림을 살펴보면 다양한 파일들이 존재하는데 이 파일들은 패드의 사용과 관련된 설정 파일들 입니다.


[그림 6] busybox 툴과 다양한 파일들


그리고 쉘 명령어를 통해서 실행되는 “motionelf_server”파일의 경우 앱을 삭제하더라도 백그라운드에서 계속 실행되고 있으며 완전히 삭제하기 위해서는 기기의 재부팅을 한번 해야 합니다. 해당 파일은 기기 내부 설정을 조정하는 파일 입니다.


[그림 7] 앱 삭제 후에도 실행되고 있는 “motionelf_server”


위에서 수집된 정보들이 네트워크를 통하여 유출 됩니다. 기기 정보를 시작으로 패드와 상관없이 사용자가 현재 어떤 앱을 실행하는지까지 실시간으로 전송하게 됩니다. 


다음 그림들은 HTTP 전송 캡쳐 화면으로 다양한 정보가 전송 되고 있음을 알 수 있습니다. 그리고 정보가 전송되는 사이트에 “Pandora”라는 문구가 포함되어 있는 것으로 미루어 제작사 측에서도 수집하는 정보가 민감한 정보라는 것을 알고 있을 것으로 추측 할 수 있겠습니다.


[그림 8] 제작사 서버와 통신과 유출되는 정보


 

결론


해당 앱은 사용자에게 어떠한 고지도 하지 않고 과도한 정보를 수집하며, 수집한 정보들을 제작사의 서버로 전송하고 있습니다. 일부 앱 에서도 비슷한 정보를 수집하고 전송하고 있지만, 사용자의 동의를 받고 있습니다. 


이유가 어떻게 되든 사용자의 정보를 몰래 수집하여 제작사 마음대로 사용하는 문화는 사라져야 할 것입니다. 그리고 필요불가결 하게 사용자들의 정보를 수집하여야 한다면 어떠한 정보가 수집되고 전송되는지 정확하게 사용자에게 알리고 동의를 받을 필요가 있겠습니다. 


현재 알약M에서는 해당 앱을 'Misc.Android.InfoStealer’탐지 명으로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage