포스팅 내용

악성코드 분석 리포트

[알약 악성코드 분석리포트] 스파이앱(Spyware.Android.PhoneSpy)

Spyware.Android.PhoneSpy -ALYac Division Malware Research

 

최근 스마트폰 보안 이슈로 '스파이앱'에 대한 논란이 뜨겁습니다. 

올 초 대규모 개인정보 유출 사건 등으로 사용자들이 '개인정보보호' 이슈에 한층 민감해진 가운데, 지난해 2월 국내에서 처음 발견된 스파이앱이 또 다시 기승을 부리고 있는 것으로 나타났습니다. 

 

또한 최근 경찰이 스파이앱 관련 앱을 제작하면서 폴 안티스파이 앱과 함께 시중 백신들이 스파이앱을 얼마나 잡아낼 수 있는지 실험한 결과, 알약 안드로이드가 13개로 가장 많이 찾아냈고, 경찰청 앱은 12개, 안랩 V3 6개, 네이버 백신은 2개를 찾아냈습니다. (관련 기사 ▶참고)


스파이앱은 사용자 스마트폰에 설치되어 공격자가 원하는 데이터(통화 내용, 문자 메시지 기록, 이동경로 등)를 수집하고, 이를 공격자의 서버로 전송하는 역할을 수행합니다. 일부 스파이앱을 제외한 대다수 스파이앱들은 제작사가 합법적인 업체이며, 돈을 받고 판매되는 앱을 보유하고 있습니다. 

 

이처럼 논란이 되고 있는 스파이앱에 대해 좀 더 알아보기 위해, 알약에서는 스파이앱 관련 회사에서 배포 중인 유료 앱(트라이얼 버전으로 판단되는)을 분석했습니다. 다음은 해당 회사의 홈페이지와 홈페이지에 설명되어 있는 스파이앱의 기능입니다.

 




홈페이지에 나열된 기능은 다음과 같습니다.


1. Call recording

2. Phone logs

3. SMS logs

4. Whatsapp logs

5. GPS logs

6. Remote monitor

7. Integrates with contacts

8. Search log functions

9. Track multiple phones

10. Optimized application

11. Logs configuration

12. MMS logs

13. browser logs

14. customization

15. Picture logs

16. Facebook logs

17. System logs

18. Calendar logs

19. Skype logs

20. Viber logs

21. Anti theft

22. Contacts logs


분석 대상은 다음과 같은 기능들을 수행합니다.


1. SMS / MMS 감시

2. 통화기록 감시

3. 브라우저 감시

4. 사진 감시

5. 위치 기록

6. Ring 모드 변환



스파이앱(Spyware.Android.PhoneSpy) 분석


1. 코드 흐름

흐름은 다음과 같이 단순합니다.

앱 실행 ▶ 각 기능 감시 서비스 구동  주기적으로 서버와 통신


각 기능 수행 시 변경 데이터는 로컬 DB에 저장하며, DB내역을 주기적으로 서버로 전송합니다.



2. 주요 코드

다음은 앱의 엔트리 포인트 코드로, 앱의 설정과 서버와의 통신 설정 각 감시 기능을 설정하는 코드입니다.



아래 코드는 각 감시 기능을 하는 서비스들을 등록하는 코드입니다. 



다음은 앱 제작사의 서버 및 데이터 처리 페이지입니다.




분석 결론 및 대응방안


스파이앱은 불특정 다수를 공격하기 보다는 특정 타겟을 정하여 공격을 하는 유형입니다. 유포 방법은 공격자가 피해자의 스마트폰에 직접 설치 하거나 문자, 메일, 메시지 등으로 설치 링크를 보내어 설치를 유도 하는 방법이 주로 사용되고 있습니다.


현재까지 불특정 다수를 향한 스파이앱 공격은 많지 않으나, 스마트폰이 현대인의 필수품이 되어가면서 다양한 목적을 가지는 스파이앱이 등장할 것으로 보입니다. 이러한 스파이앱은 개인의 민감한 정보를 무차별적으로 수집하여 사생활을 침해하거나, 더 나아가 중요한 금융정보 또는 신용정보를 탈취하여 각종 범죄에 악용할 수도 있을 것입니다.


따라서 사용자는 자신의 스마트폰 보안상태를 수시로 점검하여, 더욱 안전한 모바일 환경을 구축할 수 있도록 노력해야 합니다. 현재 알약 안드로이드에서는 해당 앱을 Spyware.Android.PhoneSpy로 탐지하고 있습니다.



※ 스파이앱에 대응하기 위한 간단한 사용자 보안 수칙

모바일 백신을 사용하여 주기적으로 검사하기

'알 수 없는 소스' 옵션은 반드시 비활성화(체크 해제, 또는 '허용하지 않음' 설정)

루팅 등을 통한 스마트폰의 구조를 임의로 변경하지 않기

스마트폰의 로그인 비밀번호 설정하기





티스토리 방명록 작성
name password homepage