상세 컨텐츠

본문 제목

Gmail, 왓츠앱, 인스타그램, 페이스북을 추적하는 스토커웨어인 MonitorMinor 발견

국내외 보안동향

by 알약(Alyac) 2020. 3. 17. 14:32

본문

MonitorMinor, the outstanding stalkerware can track Gmail, WhatsApp, Instagram, and Facebook


Kaspersky Lab의 보안 연구원들이 새로운 스토커웨어인 MonitorMinor를 발견했습니다. 이는 Gmail, Whatsapp, 인스타그램, 페이스북 유저 활동을 모니터링 할 수 있는 것으로 나타났습니다.


스토커웨어는 스토킹 목적으로 사용되는 상용 모니터링 소프트웨어 또는 스파이웨어로 가족 구성원 또는 직장 동료를 은밀히 스파잉하는데 사용됩니다.


전문가들은 MonitorMinor에 대해 현존하는 스토커웨어 중 가장 강력하다고 설명했습니다.


스토커웨어는 피해자의 현재 위치를 알아내고, SMS와 전화 데이터에 인터셉트하고 종종 지오펜싱 기능을 구현하기도 합니다.


MonitorMinor는 메시징 앱 등 다른 통신 채널 또한 도청할 수 있는 것으로 나타났습니다.


연구원들이 발견한 샘플(Monitor.AndroidOS.MonitorMinor.c)은 이러한 기능을 포함하는 드문 스토커웨어였습니다.


이 스토커웨어의 작성자는 시스템에 대한 루트 권한을 부여하는 SU 유틸리티(SuperUser 타입 앱)을 이용했습니다.


“”깨끗한” 안드로이드 OS 환경에서는 샌드박스를 통해 앱 간 직접적인 통신을 방지합니다. 따라서 스토커웨어는 왓츠앱 메시지에 대한 접근 권한을 얻을 수 없습니다. 이러한 접근 모델은 DAC(Discretionary Access Control)이라 부릅니다.”


“시스템에 루트 접근 권한을 부여하는 SU 유틸리티가 설치될 경우 상황은 변합니다. MonitorMinor 운영자들은 이를 이용합니다.”


SU 유틸리티를 통해 권한을 상승시키면, 악성코드는 아래 앱에 대한 전체 권한을 얻습니다:



LINE: Free Calls & Messages

Gmail

Zalo – Video Call

Instagram

Facebook

Kik

Hangouts

Viber

Hike News & Content

Skype

Snapchat

JusTalk

BOTIM



MonitorMinor는 기기에서 스크린 언락 패턴 또는 패스워드의 Hash 합계를 포함하는  /data/system/gesture.key 파일을 추출하는 것도 가능합니다.


MonitorMinor 운영자는 이 기능을 사용하여 장치의 잠금을 해제할 수 있습니다. 이 기능을 구현한 스토커웨어는 이 악성코드가 처음입니다.


이 악성코드가 구현하는 지속성 메커니즘은 매우 효과적이며, 루트 액세스를 활용합니다. 이 스토커웨어는 읽기 전용에서 읽기/쓰기가 가능한 모드로 시스템 파티션을 재마운트합니다. 이후 자기자신을 복사 후 사용자 파티션에서 자신을 삭제하고 다시 읽기 전용 모드로 재마운트합니다.


피해자들이 일반 OS 툴을 사용하여 이 스파잉 툴을 제거하는 것은 불가능합니다.


MonitorMinor는 접근성 서비스 API를 활용하여 제어하는 앱의 이벤트에 인터셉트합니다. 루트 접근 권한 없이도 이 API를 사용하는 모든 장치에서 효과적으로 작동합니다.



이 악성코드는 해당 API를 활용하여 키로거를 구현합니다. 이를 통해 클립보드를 모니터링하고 컨텐츠를 전달할 수 있습니다.


이 스토커웨어는 아래 기능 또한 포함하고 있습니다:



SMS 명령어를 사용하여 기기 제어

기기의 카메라를 통해 실시간 영상 열람

기기의 마이크를 통한 음성 녹음

크롬에서 브라우징 히스토리 열람

특정 앱의 사용 통계 열람

기기 내부 저장소의 내용 열람

연락처 열람

시스템로그 열람



카스퍼스키에 따르면, 이 스토커웨어는 인도(14.71%), 멕시코 (11.76%), 독일, 사우디아라비아, 영국 (5.88%) 등 국가에 설치되었습니다. 또한 MonitorMinor의 body 내 인도 이름을 사용하는 Gmail 계정이 있음을 확인했습니다. 이로써 인도의 개발자가 해당 악성코드를 개발한 것으로 추측할 수 있습니다.


“MonitorMinor는 다른 스토커웨어보다 여러 측면에서 우수하다고 볼 수 있습니다. 이는 모든 종류의 추적 기능을 구현합니다. 일부는 그들만의 고유한 기능이며, 피해자 기기에서 탐지가 거의 불가능한 수준입니다. 기기에 루트 접근 권한이 있을 경우 운영자는 더 많은 공격을 실행할 수 있게 될 것입니다.”


현재 알약M에서는 해당 악성앱에 대해 Trojan.Android.Agent로 탐지중에 있습니다. 





출처 :

https://securityaffairs.co/wordpress/99730/malware/monitorminor-super-stalkerware.html

https://securelist.com/monitorminor-vicious-stalkerware/95575/

관련글 더보기

댓글 영역