상세 컨텐츠

본문 제목

구글 전문가들, 새로운 타겟형 악성코드 패밀리인 Lipizzan 스파이웨어 차단해

국내외 보안동향

by 알약(Alyac) 2017. 7. 31. 17:04

본문

Google experts blocked a new targeted malware family, the Lipizzan spyware


구글이 새로운 안드로이드 악성코드인  Lipizzan 스파이웨어를 발견했습니다. 

이 악성코드는 강력한 모니터링 툴로 사용될 수 있는 것으로 확인되었습니다. 


Lipizzan 스파이웨어는 이스라엘의 스타트업인 Equus Technologies가 개발한 프로젝트로, 자신들을 다음과 같이 소개하고 있습니다. 


“Equus Technologies는 법 집행부, 정보 기관 및 국가 보안 기관을 위한 맞춤형 혁신 솔루션을 개발하는 기업입니다.”


전문가들은 Google Play Protect 기술을 이용해 다른 위협들을 조사하던 중 Lipizzan 스파이웨어 샘플을 발견하였습니다. 



구글은 “Lipizzan은 사용자의 이메일, SMS 메시지, 위치, 음성 전화, 미디어를 모니터링 및 추출해낼 수 있는 다단계 스파이웨어 제품이다.”고 밝혔습니다.


연구원들은 플레이 스토어에 등록 된 최소 20개의 앱들을 발견했으며, 100대 이하의 안드로이드 기기를 감염 시킨 것으로 나타났습니다. 따라서 구글은 이 앱을 타겟 공격으로 분류했습니다. 


구글은 “우리는 20개의 Lipizzan 앱들이 100대 이하의 안드로이드 기기에 타겟팅 방식으로 배포된 것을 발견했고, 안드로이드 생태계에서 해당 앱들 및 개발자들을 차단했다. Google Play Protect는 영향을 받는 모든 기기들에 알람을 보냈으며, Lipizzan 앱을 제거하였다.”고 밝혔습니다.


구글은 감염 된 앱들을 구글 플레이 스토어에서도 제거했으며, Google Play Protect를 통해 모든 피해자들에게 알람을 보냈습니다.


Lipizzan 스파이웨어는 공격자들이 2단계에 걸쳐 타겟 안드로이드 기기 전체에 접근 권한을 얻는데 사용될 수 있는 정교한 다단계 스파이웨어입니다.


첫 번째 단계에서는, 공격자는 앱을 “Cleaner”와 같은 합법적 앱으로 위장해 공식 플레이 스토어를 포함한 안드로이드 앱 스토어를 통해 Lipizzan을 배포합니다.


희생양이 이 악성코드를 다운로드 하면, 이는 “라이선스 확인”인 두 번째 단계를 다운로드 및 로드합니다.


코드는 특정 조건이 일치하는지 확인 후 알려진 익스플로잇들을 통해 기기를 루팅 후 기기 데이터를 C&C 서버로 추출하기 시작합니다.


전문가들은 Lipizzan 스파이웨어가 피해자의 이메일, SMS메시지, 스크린샷, 사진, 음성 전화, 연락처, 어플리케이션 데이터, 위치 및 기기 정보를 모니터링할 수 있다고 설명했습니다.


이 스파이웨어는 왓츠앱, 스냅챗, 바이버, 텔레그램, 페이스북 메신저, 링크드인, 지메일, 스카이프, 행아웃, 카카오톡을 포함한 특정 앱들의 데이터를 수집할 수도 있는 것으로 나타났습니다.


현재 알약안드로이드에서는 해당 악성앱에 대하여  Spyware.Android.Lipizzan로 탐지중에 있습니다. 





출처 : 


관련글 더보기

댓글 영역