SonicSpy라 명명 된 이 스파이웨어는 메시징 앱으로 위장해 지난 2월부터 안드로이드 앱 스토어를 통해 공격적으로 확산되어 왔다. 이 앱은 실제로 메시징 서비스를 제공하기도 했다.
SonicSpy 스파이웨어 앱은 마이크를 통해 은밀히 전화 내용 및 음성을 녹음하고, 기기의 카메라를 하이재킹해 사진을 찍고, 사용자의 허가 없이 발신 전화를 걸고 공격자가 선택한 전화번호로 문자 메시지를 보내는 등 다양한 악성 행동을 할 수 있다.
이 외에도 전화 기록, 연락처, 감염 된 기기가 연결한 와이파이 액세스 포인트 관련 정보(사용자의 위치 파악에 용이) 등 사용자의 정보를 훔칠 수도 있다.
구글 플레이 스토어에서 이 스파이웨어에 감염된 앱 세가지가 발견되었으며, 이 앱들은 이미 수 천회 이상 다운로드 된것으로 확인되었다.
Soniac, Hulk Messenger, Troy Chat 등과 같은 문제의 앱들은 플레이 스토어에서 삭제 되었지만, 이들을 포함한 다른 SonicSpy에 감염 된 앱들은 아직까지 써드파티 앱 스토어에서는 다운로드가 가능하다.
보안 연구원들은 이 멀웨어가 이라크에 거주하는 개발자와 연관이 있다고 추측했으며, SonicSpy 멀웨어 패밀리가 공격자가 감염 된 안드로이드 기기에서 실행할 수 있는 73개의 서로 다른 원격 명령을 지원한다고 밝혔다.
구글의 플레이 스토어에 업로드 된 SonicSpy에 감염 된 메시징 앱 중 하나는 Soniac이라는 커뮤니케이션 도구로 위장했다.
설치 되면, Soniac은 피해자로부터 자기 자신을 숨기기 위해 런처 아이콘을 스마트폰 메뉴에서 삭제하고, 변조 된 버전의 텔레그램 앱을 설치하기 위해 C&C 서버에 연결한다.
하지만 이 앱은 공격자가 감염 된 기기의 거의 모든 권한을 얻어 수행할 수 있는 많은 악성 기능들을 포함하고 있다.
연구원들은 SonicSpy에 감염 된 앱들이 지금은 플레이스토어에서 삭제 되었지만, 다른 개발자 계정을 이용하고 다른 앱 인터페이스로 다시 플레이스토어에 등록될 것이라고 추측했다.
또 연구원들은 “이 패밀리의 배후에 있는 공격자들은 그들의 스파이웨어를 공식 앱스토어에 등록할 수 있으며 현재도 적극적으로 개발 되고 있으며 빌드 프로세스가 자동화 되었기 때문에 SonicSpy가 앞으로 다시 등록 될 가능성이 있다”고 밝혔다. [정보출처. 이스트시큐리티]
★정보보안 대표 미디어 데일리시큐!★