포스팅 내용

국내외 보안동향

BusyGasper 스파이웨어, 2년 동안 발각 되지 않고 러시아 스파잉 해

BusyGasper spyware remained undetected for two years while spying Russians


Kaspersky Lab의 보안 연구원들이 2년 동안이나 발각 되지 않고 숨어있었던 새로운 안드로이드 악성코드를 발견해 BusyGasper라 명명했습니다.


BusyGasper 안드로이드 스파이웨어는 2016년 5월부터 활동해왔으며, 스파이웨어에 잘 사용하지 않는 기능을 구현했습니다. 연구원들은 이를 기기 센서 리스너와 같은 눈에 띄는 기능들을 탑재한 독특한 스파이웨어라 설명했습니다. 


BusyGasper는 모든 기기의 센서들을 스파잉하고 GPS/네트워크 추적을 활성화 할 수 있으며, 특정 문자열이 포함 된 SMS를 수신할 경우 여러 초기 명령어를 실행할 수 있습니다.


이 악성코드는 매우 광범위한 프로토콜을 가지고 있으며, 100개 가량의 명령어를 지원하고 Doze 배터리 세이버를 우회할 수 있습니다.


BusyGasper는 왓츠앱, 바이버, 페이스북을 포함한 메시징 어플리케이션에서 데이터를 추출할 수 있으며, 키로깅 기능을 구현합니다.


연구원들은 “BusyGasper는 그리 정교하진 않았지만, 이러한 유형의 위협이 잘 사용하지 않는 기능들을 구현했습니다. 이 샘플은 다중 컴포넌트 구조로 되어있으며, 무료 러시안 웹 호스팅 서비스인 Ucoz에 등록 된 FTP 서버 C&C 서버로부터 페이로드나 업데이트를 다운로드합니다.


<이미지 출처 : https://securityaffairs.co/wordpress/75770/malware/busygasper-spyware.html>


연구원들에 따르면, 이 악성코드는 타겟 기기에 물리적으로 접근해 수동으로 설치 됩니다. 지금까지 총 10명 미만의 피해자가 발견 되었는데, 모두 러시아에 위치했습니다.


이는 안드로이드 악성코드에는 매우 드물게도 IRC 프로토콜을 지원합니다.


이 악성코드는 공격자의 이메일에 로그인 하고, 명령어를 찾기 위해 특정 폴더의 이메일을 파싱하고 이메일 첨부파일의 페이로드를 기기에 저장할 수 있습니다.


분석에 따르면, 공격자는 이 악성코드를 이용해 메시징 어플리케이션의 대화 및 SMS 뱅킹 메시지를 포함한 피해자의 개인 데이터를 수집한 것으로 나타났습니다.


연구원들은 “다른 상용 스파이웨어나 알려진 스파이웨어 변종들과의 유사성은 발견 되지 않았습니다.


이는 BusyGasper가 자체 개발 되었으며, 하나의 공격자만이 사용하고 있다는 것을 의미합니다.”

“동시에 암호화의 부재, 공용 FTP 서버 사용, 낮은 운영 보안 수준 등으로 미루어볼 때 이 악성코드의 공격자의 기술 수준은 그리 높지 않다는 것을 알 수 있습니다.”고 밝혔습니다.


타겟 기기에 설치 된 첫 번째 모듈은 IRC 프로토콜을 통해 제어되며, 공격자들이 추가 컴포넌트를 배포할 수 있도록 합니다. 이 모듈은 루트 권한을 가지고 있는 것으로 보이지만, 아직까지 악용 된 증거는 찾을 수 없었습니다.


이 모듈은 IRC 시작/중단, IRC 설정 관리, 종료, 루트 기능 사용, 스크린이 켜졌을 경우 알리기, 아이콘 숨김/숨김 해제, 쉘 실행, 두 번째 모듈로 명령어 보내기, 시스템 경로로 컴포넌트 다운로드 및 복사, 특정 메시지를 로그에 쓰기 등 광범위한 명령어를 지원합니다.


두 번째 모듈은 명령어 실행 히스토리 로그를 ‘lock’이라는 파일에 씁니다. 이는 나중에 C&C로 업로드 됩니다. 로그 메시지를 SMS를 통해 공격자에게 보내는 것도 가능합니다.


또한 연구원들은 수동 제어에 사용할 수 있는 숨겨진 메뉴를 발견했습니다. 이는 감염 된 기기에서 하드코딩 된 번호인 9909로 전화해 활성화할 수 있습니다.


현재 알약 M에서는 해당 악성앱에 대해 Spyware.Android.Agent로 탐지중에 있습니다. 





출처 :

https://securityaffairs.co/wordpress/75770/malware/busygasper-spyware.html

https://securelist.com/busygasper-the-unfriendly-spy/87627/



티스토리 방명록 작성
name password homepage