포스팅 내용

국내외 보안동향

스파이웨어로 변신한 앱, 중동의 안드로이드 사용자들 노려

'Legit Apps Turned into Spyware' Targeting Android Users in Middle East


사이버 보안 연구원들이 2016년부터 활성화되어 왔으며 2018년 8월 처음 발표된 안드로이드 악성 캠페인에 대해 경고했습니다.


카스퍼스키의 연구원들이 "ViceLeaker"라 명명한 이 캠페인은 사용자가 알지 못하는 사이에 사용자 정보를 탈취합니다.


이 악성코드는 전화 기록, 문자 메시지, 사진, 비디오, 위치 데이터 등의 정보를 탈취하도록 설계되었으며, 이스라엘 및 기타 중동 국가들을 노리고 있는 것으로 나타났습니다.


일반적인 스파이 기능 외에도 파일 업로드/다운로드/삭제, 음성 녹음, 카메라 탈취, 특정 번호로 전화 걸기 또는 문자 보내기 등을 포함한 백도어 기능을 갖추고 있습니다.


이 악성코드는 2018년 Bitdefender가 공개한 보고서에서 "Triout"이라 명명되었습니다.


Triout는 악성 프레임워크의 일종으로 공격자들이 정식 애플리케이션에 악성 페이로드를 주입하여 스파이웨어로 변환하는데 사용합니다.


카스퍼스키랩의 연구원들은 공격자들이 Baksmali 툴을 활용하여 정식 앱의 코드를 분해하고 악성코드를 주입한 후 이를 재조립한다는 것을 발견했습니다. 흔히 Smali 인젝션이라 알려진 기술입니다.


주요 감염 벡터는 텔레그램 및 왓츠앱 메신저로 트로이목마화된 어플리케이션이 피해자들에게 확산되었습니다.


<이미지 출처: https://securelist.com/fanning-the-flames-viceleaker-operation/90877/>


이 외에도 연구원들은 멀웨어에 사용되는 코드가 "Conversations"라고 불리는 Android 플랫폼용 오픈 소스 XMP/Jabber 클라이언트의 수정된 버전과 유사하다는 것을 발견했습니다.


연구원들은 변조된 Conversations 앱 내 Smali 인젝션과 관련된 흔적을 찾지는 못했지만 dx/dexmerge 컴파일러의 흔적을 발견했습니다. 


이는 당시 공격자들이 오리지널 소스코드를 안드로이드 스튜디오 등의 안드로이드 IDE로 import하여 수정 사항과 함께 컴파일했다는 것을 의미합니다.


Conversations 앱의 수정된 버전에는 어떤 악성코드가 포함되어 있는 것은 아니지만, 동일한 공격자 그룹이 다른 목적을 위해 사용할 것으로 추측하고 있습니다.


그리고 백도어가 포함된 앱들이 모두 이란에서 탐지되었다고 밝혔습니다.


공격자들은 악성코드를 포함한 리패키지된 버전의 정식 앱을 앱스토어, 인스턴트 메신저, 공격자가 제어하는 온라인 웹페이지 등을 통해 배포할 수 있는 것으로 나타났습니다.


발견된 악성 앱들은 정식 앱이나 인기 있는 앱으로 위장하고 있기 때문에, 안드로이드 사용자들은 항상 공식 구글 플레이 스토어와 같은 곳에서 앱을 다운로드해야 합니다. 


또한, 항상 검증된 개발자가 만든 앱을 사용하시기 바랍니다.


현재 알약M에서는 해당 악성 앱에 대해 'Trojan.Android.Agent' 탐지 명으로 진단하고 있습니다.



출처:

https://thehackernews.com/2019/06/android-malware-hacking.html

https://securelist.com/fanning-the-flames-viceleaker-operation/90877/

티스토리 방명록 작성
name password homepage