상세 컨텐츠

본문 제목

Rana 안드로이드 악성코드, 왓츠앱과 텔레그램 스누핑 가능해져

국내외 보안동향

by 알약4 2020. 12. 8. 14:00

본문

Rana Android Malware Updates Allow WhatsApp, Telegram IM Snooping

 

안드로이드 악성코드 개발자들이 왓츠앱, 텔레그램, 스카이프 등 새로운 스파이 변종을 개발한 것으로 나타났습니다.

 

연구원들이 이전에 발견된 안드로이드 악성코드의 새로운 샘플을 발견했습니다. 그들은 이 앱을 APT39 이란 사이버 스파이 그룹과 관련된 것으로 추측했습니다.

 

이 새로운 변종에는 피해자의 스카이프, 인스타그램, 왓츠앱 메시지를 스누핑 할 수 있는 기능 등 새로운 감시 기능이 추가되었습니다.

 

미 연방 정부에 따르면, 이 악성코드의 개발자는 APT39 (Chafer, Cadelspy, Remexi, ITG07로도 알려짐) 및 이란의 정보 보안부와 연결된 유령 회사인 Rana Intelligence Computing Co.로 위장하여 활동하고 있었습니다.

 

ReversingLabs의 연구원들은 지난 월요일 아래와 같이 언급했습니다.

 

공격 그룹이 특정 타깃을 집중 공격하는데는 여러 이유가 있습니다.”

 

정치적 반체제자, 독재 국가의 반대자든 기업이든 공격자의 목표는 금전, 또는 정치적인 이익입니다.”

 

이 악성코드의 초기 감염 지점이 어디인지는 아직까지 확실히 밝혀지지 않았습니다.

 

인스턴트 메시지 스누핑

 

이 악성코드는 예전에는 정보 탈취 및 원격 접속 기능을 갖추고 있었습니다. 하지만 연구원들은 이 변종이 피해자의 인스턴트 메시징 애플리케이션을 공격하기 위해 모바일 접근성 서비스를 활용하도록 더욱 진화한 것을 발견했습니다.

 

장애를 가진 사용자들을 돕기 위해 만들어진 안드로이드의 접근성 서비스는 여러 범죄자들이 안드로이드 공격에 악용되어 왔습니다.

 

이 서비스는 백그라운드에서 실행되며 AccessibilityEvents”가 실행될 때 시스템에서 콜백을 받습니다.

 

공격자들은 이러한 서비스를 활용해 피해자의 전화를 스누핑 하기 위한 권한을 얻을 수 있었습니다.

 

이 악성코드는 안드로이드 인스타그램 앱, 스카이프, 텔레그램, 바이버, 왓츠앱 등 커뮤니케이션 애플리케이션의 전체 목록을 모니터링 하기 위해 접근성 서비스를 사용합니다.


“모니터링되는 인스턴트 메시징 애플리케이션을 살펴본 결과, 이 악성코드는 이란 시민을 감시하는데 사용될 가능성도 있었습니다.”


“모니터링되는 인스턴트 메시징 애플리케이션 중 하나의 이름은 ‘org.ir.talaeii’로 이란에서 개발된 비공식 텔레그램 클라이언트였습니다.”


기타 명

 

이 악성코드의 새로운 변종은 SMS로 전송되는 명령 및 제어 서버로부터 명령을 받는 등 다양한 명령을 포함합니다.

 

이 경우에 이 악성코드는 수신한 SMS에 인터셉트한 뒤 선정이된 명령 헤더로 시작될 경우 SMS_RECEIVED Intent 추가 전파를 중단합니다.”

 

이로써 수신된 SMS가 기본 SMS 애플리케이션에 도달하는 것을 막습니다.”

 

또한 악성코드는 피해자의 기기에서 사진을 촬영하고 음성을 녹음하고 특정 번호에서 걸려오는 전화에 자동으로 응답할 수 있습니다.

 

이 악성코드는 특정 순간에 기기가 부팅되도록 예약할 수 있어 누군가 전화 기기를 끄더라도 악성코드가 활성화되도록 할 수 있습니다.”

 

이 악성코드는 커스텀 Wi-Fi 액세스 포인트를 추가하고 기기가 여기에 연결하도록 하는 기능 또한 포함하고 있습니다.

 

연구원들은 이 기능이 타깃 모바일 기기의 비정상적인 데이터 트래픽 사용으로 인해 탐지되는 것을 막기 위해 도입된 것으로 추측했습니다.

 

안드로이드 사용자들은 삭제가 불가능한애드웨어와 안드로이드 뱅킹 트로이목마 등 다양한 모바일 위협에 끊임 없이 노출되고 있습니다.

 

모바일 기기를 사용할 경우 앱이 가지고 있는 권한을 모두 파악하고, 해당 기업이 엄격한 모바일 관리 정책을 갖추고 있는지 확인하여 악성코드를 피해야 합니다.


현재 알약M에서는 해당 악성코드 샘플을 'Trojan.Android.Agent'로 탐지 중입니다. 

 

 

 

 

출처:

https://threatpost.com/rana-android-malware-updates-allow-whatsapp-telegram-im-snooping/161971/

https://blog.reversinglabs.com/blog/rana-android-malware


관련글 더보기

댓글 영역