'시스템 업데이트'로 위장한 안드로이드 스파이웨어, 구글플레이에서 수백만 다운로드

개요

 

 보안전문기업 지스케일러(Zscaler), 안드로이드 소프트웨어 업데이트로 위장한 스파이웨어가 구글 플레이를 통해 

수백만 사용자의 안드로이드 장치에 다운로드된 사실을 밝힘

<그림1. 시스템 업데이트로 표기된 구글 플레이스토어 페이지>

출처 : https://www.zscaler.com (04.19)

주요내용

“시스템 업데이트” 와 같이 합법적인 어플리케이션으로 위장

- 스파이웨어는 안드로이드 최신 소프트웨어 업데이트로 사용자들에게 제공되는 것처럼 보이도록 

  Google Play에 2014년 처음 생성됨.

- 스토어에 등록 후 구글에 통보되어 삭제될 때 까지 약 1백만에서 5백만 건의 다운로드가 이루어짐.

  스파이웨어는 사용자의 위치정보를 염탐, 실시간으로 전송

- 시스템 업데이트 동작은 전혀 내재 되어 있지 않음.

- 대신, 스파이웨어는 사용자의 정확한 위치정보를 염탐했으며, 실시간으로 공격자에게 전송되기도 함.

<그림2. SMS를 통한 공격 명령>

<출처 : https://www.zscaler.com (04.19)>

SMS를 통해 원격으로 공격명령을 수신

- 지스케일러(Zscaler)는 스파이웨어는 수신한 SMS 메시지에서 특정한 단어, 문맥을 찾는 기능을 가지고 있다고 설명.

- 공격 명령 SMS는 23글자 이상이고, 'vova-'라는 내용을 가짐. 또한 'get faq'라는 내용을 가진 메시지를 탐색.

  부팅시 예외 생성으로 탐지 회피

- 문자메시지 기반 작동과 휴대폰 부팅 시, 초기화 단계에서 예외 생성은 바이러스토탈(VirusTotal)등의 어떠한 안티-바이러스   엔진도 이 어플리케이션을 탐지하지 못한 주요한 이유.

- 추가로, 보안 전문가들은 드로이드잭(DroidJack) 트로이목마와 같은 해킹 희생자의 위치를 훔치는 비슷한 코드를 발견.

 

 

[출처]

1. SECURITYWEEK, “Millions Download "System Update" Android Spyware via Google Play”, 2017. 04. 21.

http://www.securityweek.com/millions-download-system-update-android-spyware-google-play