중국의 거대 IT 기업, 사용자 연락처 수집 및 추적해

Chinese IT Services Giant Harvests Contacts, Tracks Users

중국의 거대 IT 기업 Hangzhou Shunwang Technology에서는 중국의 주요 서드파티 스토어에서 다운 가능한 안드로이드 앱 십여 개를 관리하고 있는데, 이 앱들에서 데이터 탈취 컴포넌트를 발견했습니다.

이 컴포넌트는 사용자 핸드폰의 연락처, 위치, QQ 메신저 로그인 정보를 수집하는 것으로 나타났습니다.

※ QQ 메신저란?

중국에서 사용하는 메신저 프로그램으로 탄센트 홀딩스 리미티드가 제작, 배포 중인 소프트웨어

<이미지 출처: https://play.google.com/store/apps/details?id=com.tencent.mobileqq&hl=ko>

데이터를 탈취하는 코드는 무해해 보이는 앱들의 데이터 분석 SDK에 숨어있었습니다. 이는 폰이 재부팅 되거나 감염된 앱이 시작될 때마다 데이터를 긁어모아 정보를 전달했습니다.

연구원들은 사용자의 연락처 정보를 모으는 행위는 앱 개발자들이 알지 못한 사이 발생한 것으로 추측하고 있습니다.

[Operation Sheep의 공격 플로우]

<이미지 출처: https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/>

대부분의 앱들은 시스템 유틸리티였으며, Tencent MyApp, Wandoujia, Huawei App Store, Xiaomi App Store와 같이 중국의 유명한 앱스토어에서 설치가 가능합니다. 

이 악성 앱들은 최소 1.11억 회 다운로드 되었습니다. 일부 개발자들의 앱들은 Shunwang Technology의 웹사이트에서만 게시되어 있어, Shunwang Technology와 관련이 있는 것으로 추측됩니다.

Check Point는 지난 9월 중순부터 이를 추적해오고 있었으며, 보안 전문가들은 이 데이터 탈취 사업을 ‘Operation Sheep’이라 이름 붙였고, MitD(Man-in-the-disk) 취약점을 악용한 것으로 밝혔습니다. 

※ MitD(Man-in-the-disk) 공격이란?

안드로이드 애플리케이션이 제공된 안전한 내부 저장 공간이 아닌 외부 저장 매체에 데이터를 저장할 때, 공격자가 모든 응용 프로그램에서 공유하는 응용 프로그램 데이터를 잠재적으로 조작하는 것으로 외부 저장소를 사용하여 설치한 앱들은 MitD 공격에 타깃이 될 수 있습니다.

※ 관련글 보러가기

▶ 포트나이트 안드로이드 앱, 맨 인 더 디스크 공격에 취약

SDK 코드를 살펴본 결과, 이들은 데이터 추출 프로세스가 Meitu 기기에서는 발생하지 않는다는 것을 발견했습니다. 

또한 이 데이터 탈취 기능은 전 세계 안드로이드 중 70%를 차지하는 안드로이드 6(마시멜로) 버전과 그 이후 버전에만 영향을 줍니다.

SWAnalytics SDK를 통합한 모든 앱들은, 기능에 일반적으로 필요한 권한 보다 더욱 많은 권한들을 요청하고 있었습니다. 

‘Operation Sheep’을 모니터링하던 Network Speed Master 앱을 분석한 결과 위치 데이터, 카메라, 연락처 등 네트워크 모니터링 툴은 필요하지 않은 많은 권한을 요구하고 있었습니다.

[Network Speed Master가 요구하는 안드로이드 권한 화면]

<이미지 출처: https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/>

이 연구원들은 Network Speed Master의 매니페스트 파일(Manifest file)에서 앱 설치/제거/업데이트, 폰 재시작, 배터리 충전 등과 같은 작업을 모니터링하는 모듈인 “CoreReceiver”를 발견했습니다.

연구원들은 이 데이터가 악성 마케팅, 타깃 전화 사기, 친구 추천 프로그램 등 추가적인 악용을 위해 언더그라운드 마켓으로 흘러 들어갔을 가능성이 있다고 밝혔습니다.

보안 전문가에 따르면 SWAnalytics는 QQ의 로그인 데이터 캐시를 저장하는 "텐센트/모바일QQQ/웹뷰 체크" 폴더에 대해 Android 기기의 외장 스토리지를 검색하면서 QQ 로그인 데이터를 구체적으로 타깃으로 하고 있다고 밝혔습니다.

[QQ 로그인 데이터 타깃 화면]

<이미지 출처: https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/>

이 SDK는 Shunwang 서버에 정보를 전달하기 전 DES 암호화를 두 번 적용합니다. 마스터키를 사용해 패키지를 보내기 전 암호화를 하고, 하드코딩 된 패스코드를 사용해 마스터키를 암호화 했습니다.

연구원들이 목격한 가장 최근 명령은 매 5초마다 위치 정보 데이터를 수집하고, QQ 로그인을 요구했습니다. 데이터 캡처 프로세스가 살아있는지 확인하기 위한 체크 및 정보 업로드 간격은 15분으로 설정되어 있었습니다. 

이 연구원들은 2018년 9월 첫 번째 악성 샘플을 발견했으며, 아래 12개의 안드로이드 앱에서 데이터 수집 작업을 추적했습니다.그러나 아직 구글 플레이에서는 SWAnalytics의 흔적을 찾을 수 없었다고 밝혔습니다.

악의적인 SWAnalytics SDK가 포함된 안드로이드 앱 리스트

App Name	Package Name	Developer	Major Publish Channels	Confirmed infested version
Incoming Call Flashlight	com.hd.fly.flashlight	Hangzhou Hui Mao	All 6 stores	2.3.1 to 2.3.4
Network Speed Master	com.syezon.lab.networkspeed	Hangzhou Syezon	All 6 stores	2.7.7 to latest
Battery Doctor	com.isyezon.kbatterydoctor	Hangzhou Syezon	All 6 stores	1.3.7 to 1.3.9.
Wi-Fi Password Key	com.syezon.wifikey	Hangzhou Syezon	All except Huawei and Xiaomi	1.2.8 to 1.3.1
Wi-Fi Signal Amplifier	com.syezon.wifi	Hangzhou Syezon	All 6 stores	3.7.0 to 3.7.5
Syoo Video	com.syoogame.yangba	Hangzhou Syezon	All except Baidu and Xiaomi	2.6.5 to latest
Super Battery Charge	com.hodanet.charge	Hangzhou Shun Wang	All except 360 and Xiaomi	2.3.6 to latest
Happy Fishing (and 2 variants)	com.hzfy.kldwby.nearme.gamecenter com.hzfy.kldwby.mi com.hzfy.kldwby.huawei	Hangzhou Hodanet	Only published on Shun Wang website	6.4.6 to latest
91Y Live	com.live91y.tv	Hangzhou Fuyun	All 6 stores	182 to latest
91Y Game	com.lixxix.hall	Hangzhou Fuyun	Currently only available on Shun Wang website	4.8.15

출처:

https://www.bleepingcomputer.com/news/security/chinese-it-services-giant-harvests-contacts-tracks-users/

https://research.checkpoint.com/operation-sheep-pilfer-analytics-sdk-in-action/