2024-03-28 18:55 (목)
타인 기기 마음대로 원격조정 가능한 1천개 이상 악성 앱 발견돼
상태바
타인 기기 마음대로 원격조정 가능한 1천개 이상 악성 앱 발견돼
  • 길민권 기자
  • 승인 2017.08.16 23:41
이 기사를 공유합니다

사용자가 모바일 기기에서 하는 거의 모든 행동들 모니터링 및 마음대로 사용가능

▲ 이미지 출처. blog.lookout.com
▲ 이미지 출처. blog.lookout.com
최근 구글 플레이 스토어와 써드파티 앱 스토어에 천개가 넘는 악성 앱들이 업로드 된 것으로 조사됐다. 이 악성 앱들은 사용자가 모바일 기기에서 하는 거의 모든 행동들을 모니터링하고 사용자의 특별한 액션 없이도 몰래 수신 전화를 녹음하고 발신할 수도 있다.

SonicSpy라 명명 된 이 스파이웨어는 메시징 앱으로 위장해 지난 2월부터 안드로이드 앱 스토어를 통해 공격적으로 확산되어 왔다. 이 앱은 실제로 메시징 서비스를 제공하기도 했다.

SonicSpy 스파이웨어 앱은 마이크를 통해 은밀히 전화 내용 및 음성을 녹음하고, 기기의 카메라를 하이재킹해 사진을 찍고, 사용자의 허가 없이 발신 전화를 걸고 공격자가 선택한 전화번호로 문자 메시지를 보내는 등 다양한 악성 행동을 할 수 있다.

이 외에도 전화 기록, 연락처, 감염 된 기기가 연결한 와이파이 액세스 포인트 관련 정보(사용자의 위치 파악에 용이) 등 사용자의 정보를 훔칠 수도 있다.

구글 플레이 스토어에서 이 스파이웨어에 감염된 앱 세가지가 발견되었으며, 이 앱들은 이미 수 천회 이상 다운로드 된것으로 확인되었다.

Soniac, Hulk Messenger, Troy Chat 등과 같은 문제의 앱들은 플레이 스토어에서 삭제 되었지만, 이들을 포함한 다른 SonicSpy에 감염 된 앱들은 아직까지 써드파티 앱 스토어에서는 다운로드가 가능하다.

보안 연구원들은 이 멀웨어가 이라크에 거주하는 개발자와 연관이 있다고 추측했으며, SonicSpy 멀웨어 패밀리가 공격자가 감염 된 안드로이드 기기에서 실행할 수 있는 73개의 서로 다른 원격 명령을 지원한다고 밝혔다.

구글의 플레이 스토어에 업로드 된 SonicSpy에 감염 된 메시징 앱 중 하나는 Soniac이라는 커뮤니케이션 도구로 위장했다.

설치 되면, Soniac은 피해자로부터 자기 자신을 숨기기 위해 런처 아이콘을 스마트폰 메뉴에서 삭제하고, 변조 된 버전의 텔레그램 앱을 설치하기 위해 C&C 서버에 연결한다.

하지만 이 앱은 공격자가 감염 된 기기의 거의 모든 권한을 얻어 수행할 수 있는 많은 악성 기능들을 포함하고 있다.

연구원들은 SonicSpy에 감염 된 앱들이 지금은 플레이스토어에서 삭제 되었지만, 다른 개발자 계정을 이용하고 다른 앱 인터페이스로 다시 플레이스토어에 등록될 것이라고 추측했다.

또 연구원들은 “이 패밀리의 배후에 있는 공격자들은 그들의 스파이웨어를 공식 앱스토어에 등록할 수 있으며 현재도 적극적으로 개발 되고 있으며 빌드 프로세스가 자동화 되었기 때문에 SonicSpy가 앞으로 다시 등록 될 가능성이 있다”고 밝혔다. [정보출처. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★