40개가 넘는 앱들의 데이터 탈취하는 Android SpyDealer 악성코드 발견!

최근 Palo Alto Networks 보안전문가는 새로운 형태의 Android 악성코드를 발견하였으며, 이를 SpyDealer라 명명했습니다. 

이 악성앱은 40여개 앱들의 데이터를 탈취하였으며, 그 중에는 위챗, QQ, 웨이보, feixin등 많은 중국인들이 사용하는 앱들이 상당부분 포함되어 있었습니다. 이에 이 악성앱이 중국 사용자들을 타겟으로 한 것이 아니냐는 추측이 나오고 있습니다. 

악성앱은 휴대폰을 감염시킨 후 루팅을 시도하는데, 루팅 성공률은 약 25%로 확인되었습니다. 하지만 루팅이 실패한 후에도, 다른 방법을 이용하여 정보를 수집합니다.

2800감염 된 안드로이드 폰에서 데이터 훔쳐

일단 기기를 감염 시키면, SpyDealer는 Baidu Easy Root라는 앱의 취약점을 악용해 루트 권한을 획득하려 시도하며, 이를 통하여 공격자는 감염 기기를 온전히 제어할 수 있게 됩니다. 이 악성앱은 UDP, TCP, SMS를 통한 원격 제어를 지원하고, 왓츠앱, 페이스북, 스카이프, 텔레그램, 파이어폭스 등의 다양한 앱들로부터 데이터를 훔칠 수 있습니다.

이 뿐만 아니라, SpyDealer는 해킹된 안드로이드 기기로부터 SMS 대화, 폰 번호, 계정, 통화 기록, 위치 등 개인 정보를 추출하는 것도 가능합니다. 기기를 원격으로 제어 가능한 공격자들은 카메라로 사진을 찍고, 전화 통화를 녹음하며, 스크린샷을 찍고, 심지어는 폰 주위에서 무슨 일이 일어나는지 도청할 수도 있습니다.

보안전문가들은 안드로이드 버전 2.2와 4.4는 SpyDealer에 완전히 노출되어 있으며, 이후 버전들도 취약하지만 보안 기능의 향상으로 인해 피해 규모는 비교적 적을 것으로 추측하였습니다. 

SpyDealer는 지금도 배포 되고 있는 것으로 추측됩니다. 

현재까지 이미 1,000개 이상의 샘플이 발견되었으며, 가장 오래된 것은 2015년 10월에 만들어졌다고 밝혔습니다.

현재 알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.FakeInst로 탐지하고 있습니다. 

출처 :

http://news.softpedia.com/news/new-android-malware-lets-hackers-spy-on-users-steal-their-data-516894.shtml

https://researchcenter.paloaltonetworks.com/2017/07/unit42-spydealer-android-trojan-spying-40-apps/