2024-03-28 23:25 (목)
사용자 위치정보 수집하는 스파이웨어, 구글 플레이스토어서 발견
상태바
사용자 위치정보 수집하는 스파이웨어, 구글 플레이스토어서 발견
  • 길민권 기자
  • 승인 2017.04.24 23:53
이 기사를 공유합니다

0904-12.jpg
Zscaler의 IT 보안연구원은 스마트폰 사용자의 위치에 접근해 공격자에게 전송할 수 있는 SMSVova 악성코드가 구글 플레이스토어에서 3년간 감지되지 않고 존재해왔다는 것을 밝혀냈다.

이 앱은 사용자에게 최신 안드로이드 시스템 업데이트에 대한 액세스 권한을 부여하는 것처럼 보이지만, 실제로는 피해자의 스마트폰을 장악하여 사용자의 정확한 위치를 실시간으로 제공하는 악성코드이다.

이를 밝혀낸 연구원들은 어플리케이션이 안드로이드 OS를 업데이트 하지 않는다는 지적에 의심을 하게되었다. 또한 스토어 페이지에는 스크린샷이나 앱이 실제로 무엇을 하는지에 대한 정보가 비어있어 Zscaler은 해당 어플리케이션을 분석하게 되었다.

실제로 스토어 페이지에서 시스템 업데이트 앱에 대해 제공한 유일한 정보는 업데이트 되어 특별한 위치 정보를 제공한다는 것이다. 그것이 실제로 하는 일(감시활동의 일환으로 제 3자에게 위치정보를 보냄)이 무엇을 하는지에 대해서는 사용자에게 알려주지 않고 있다.

앱은 데이터에 접근하고 수정하기 위한 안드로이드 인터페이스인 Shared Preferences에서 MyLocationServivce라는 기능을 설정한다. 또한 앱은 멀웨어의 명령을 담고 있는 특정 수신 텍스트 메세지를 스캔하기 위해 IncomingSMS 수신기를 설정한다. 예를 들어 공격자가 "faq 가져오기"라는 텍스트를 보내면 추가적인 공격을 위한 명령에 반응하거나 'Vova'로 스파이웨어를 암호화한다(그래서 Vova가 이 멀웨어의 이름임). Zscaler 연구원들은 멀웨어 구동이 SMS를 이용하는 것이 것이 지난 3년동안 악성코드 탐지에 실패한 이유라고 설명했다.

멀웨어가 완전히 설정되면, 공격자는 장치 위치를 전송할 수 있다. 그러나 공격자가 누구이고 왜 일반 안드로이드 사용자의 위치정보를 원하는지에 대해서는 밝혀진 바가 없다.

단 흥미로운 점은 SMSVova가 DroidJack트로얀과 코드를 공유하고 있다는 것이다. 이것은 악성코드의 이면에 안드로이드 시스템 공격에 특화된 공격자가 있다는 의미이다.

이 앱은 2014년 12월부터 업데이트되지 않았지만, 연구자들이 설명하듯 그 이후로 수십만 명의 피해자가 여전히 감염되어 있어 업데이트가 없다고 해서 악성코드 기능이 완전히 작동하지 않는다는 것을 의미하지는 않는다.

Zscaler가 구글 보안팀에 보고한 후, 해당 앱은 구글플레이스토어에서 삭제되었다. 히지만 최근 3년동안 다운로드한 사람과 아직까지 보유하고 있는 사람들을 위한 조치는 없었다. 또한 3년동안 악성코드가 플레이 스토어에 있었던 이유를 묻는 답변 또한 구글측은 내놓지 않고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★