2019-11-12 20:33 (화)
새로운 안드로이드 스파이웨어 'BusyGasper'...타깃 기기서 각종 정보 빼내
상태바
새로운 안드로이드 스파이웨어 'BusyGasper'...타깃 기기서 각종 정보 빼내
  • 길민권 기자
  • 승인 2018.09.03 17:44
이 기사를 공유합니다

2016년 5월부터 활동해왔으며 스파이웨어에 잘 사용하지 않는 기능들 구현

andr-1.jpg
카스퍼스키랩 연구원들이 2년 동안이나 발견되지 않고 숨어있던 새로운 안드로이드 악성코드를 발견했다. 공격자는 이 악성코드를 이용해 메시징 어플리케이션의 대화 및 SMS 뱅킹 메시지를 포함한 피해자의 각종 개인 데이터를 수집한 것으로 조사됐다.

이번에 발견된 'BusyGasper' 안드로이드 스파이웨어는 2016년 5월부터 활동해왔으며 스파이웨어에 잘 사용하지 않는 기능을 구현했다. 연구원들은 이를 기기 센서 리스너와 같은 눈에 띄는 기능들을 탑재한 독특한 스파이웨어라 설명했다.

BusyGasper는 모든 기기의 센서들을 스파잉하고 GPS/네트워크 추적을 활성화 할 수 있으며, 특정 문자열이 포함 된 SMS를 수신할 경우 여러 초기 명령어를 실행할 수 있다.

이 악성코드는 매우 광범위한 프로토콜을 가지고 있으며 100개 가량의 명령어를 지원하고 Doze 배터리 세이버를 우회할 수 있다.

또 왓츠앱, 바이버, 페이스북을 포함한 메시징 어플리케이션에서 데이터를 추출할 수 있으며 키로깅 기능도 가능하다.

카스퍼스키랩 연구원들은 “BusyGasper는 그리 정교하진 않았지만 이러한 유형의 위협이 잘 사용하지 않는 기능들을 구현했다. 이 샘플은 다중 컴포넌트 구조로 되어있으며, 무료 러시안 웹 호스팅 서비스인 Ucoz에 등록 된 FTP 서버 C&C 서버로부터 페이로드나 업데이트를 다운로드한다"고 설명했다.

또 이 악성코드는 타깃 기기에 물리적으로 접근해 수동으로 설치된다. 지금까지 총 10명 미만의 피해자가 발견되었으며 모두 러시아에 위치했다.

한편 안드로이드 악성코드에는 매우 드물게도 IRC 프로토콜을 지원한다. 이 악성코드는 공격자의 이메일에 로그인 하고 명령어를 찾기 위해 특정 폴더의 이메일을 파싱하고 이메일 첨부파일의 페이로드를 기기에 저장할 수 있다.

연구원들은 “다른 상용 스파이웨어나 알려진 스파이웨어 변종들과의 유사성은 발견 되지 않았다. 이는 BusyGasper가 자체 개발되었으며, 하나의 공격자만이 사용하고 있다는 것을 의미한다”며 “동시에 암호화의 부재, 공용 FTP 서버 사용, 낮은 운영 보안 수준 등으로 미루어볼 때 이 악성코드의 공격자의 기술 수준은 그리 높지 않다는 것을 알 수 있다”고 전했다.

타깃 기기에 설치 된 첫 번째 모듈은 IRC 프로토콜을 통해 제어되며, 공격자들이 추가 컴포넌트를 배포할 수 있도록 한다. 이 모듈은 루트 권한을 가지고 있는 것으로 보이지만 아직까지 악용 된 증거는 찾을 수 없었다고 한다.

이 모듈은 IRC 시작/중단, IRC 설정 관리, 종료, 루트 기능 사용, 스크린이 켜졌을 경우 알리기, 아이콘 숨김/숨김 해제, 쉘 실행, 두 번째 모듈로 명령어 보내기, 시스템 경로로 컴포넌트 다운로드 및 복사, 특정 메시지를 로그에 쓰기 등 광범위한 명령어를 지원다.

두 번째 모듈은 명령어 실행 히스토리 로그를 ‘lock’이라는 파일에 쓴다. 이는 나중에 C&C로 업로드 된다. 로그 메시지를 SMS를 통해 공격자에게 보내는 것도 가능하다.

또한 연구원들은 수동 제어에 사용할 수 있는 숨겨진 메뉴를 발견했다. 이는 감염 된 기기에서 하드코딩 된 번호인 9909로 전화해 활성화할 수 있다. [정보. 이스트시큐리티]

★정보보안 대표 미디어 데일리시큐!★