개요
구글의 안드로이드 보안팀, 안드로이드 유저를 타겟으로 한 Lipizzan이라는 신규 스파이웨어 발견
주요내용
구글의 안드로이드 보안팀은 공식 구글 플레이 스토어(Google Play Store)에서 Lipizzan* 이라는 신규 스파이웨어 코드를 사용한 앱을 발견하여 제거했다고 발표함(‘17.7.26.)
* 이스라엘의 ‘Equus Technologies’라는 회사가 개발한 것으로 스스로를 “법집행기관, 정보기관, 국가안보기관을 위한 혁신적인 솔루션을 개발하는 기업”이라고 소개함
Lipizzan은 공격자들이 안드로이드 기기에 대한 접근 권한을 얻을 수 있도록 2단계로 정교하게 구성된 다단계 스파이웨어
- 구글 공식 스토어에서 Lipizzan이 심어진 20개의 앱들을 발견하였으며, 100대 이하의 안드로이드 기기들이 감염된 것으로 파악함
Lipizzan 코드가 사용된 앱들은 고전적 속임수와 함께 악의적 행위를 2단계로 나누어 실행하여 구글의 보안 감시 시스템(Google's Bouncer security system)을 회피
- 첫 번째 단계에서 Lipizzan 앱은 Google Bouncer가 악성코드로 인식하지 않도록 합법적인 코드와 함께 제공되어 사용자 기기에 설치됨
- Lipizzan이 사용자 기기에 설치되면 '라이센스 확인' 단계를 위장하여 2단계 구성 요소를 다운로드 시킴
- 사용자의 기기에서 특정 데이터를 스캔하고, 점검을 통과하면 2단계 구성 요소가 일반적인 익스플로잇 패키지를 이용하여 관리자 권한을 획득(rooting)한 후 C&C 서버로 데이터를 전송함
< Lipizzan의 기능 >
▶ 통화, VoIP, 장치 마이크 녹음
▶ 위치 모니터링
▶ 스크린샷 촬영
▶ 기기에 내장된 카메라로 사진 촬영
▶ 기기 정보 및 파일 가져오기
▶ 사용자 정보 가져오기(연락처, 통화목록, SMS, 애플리케이션별 데이터)
▶ 아래와 같은 앱들의 데이터 검색
→ Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber, Whatsapp
구글은 통합 보안 서비스인 구글 플레이 프로텍트(Google Play Protect)를 통해 해당 스파이웨어에 감염된 기기에서 Lipizzan을 제거하고 새로운 기기에 설치되는 것을 차단하고 있다고 밝힘
시사점
최근 개발되는 악성코드들이 더욱 정교하게 보안 시스템을 우회하도록 개발하고 있는 추세이며, 소수 기기들을 타겟팅 하여 공격하고 있음
Lipizzan 스파이웨어는 국내 모바일 사용자 대부분이 사용하는 카카오톡 등의 인기 애플리- 케이션들의 데이터를 검색하는 기능도 포함하고 있어 확산될 경우 개인들의 정보를 획득하여 악용될 우려가 있음
[출처]
1. ITPRO, “Google blocks spyware from Play after Android users targeted”, 2017.7.28.
2. Bleepingcomputer, “Google Discovers New Lipizzan Android Spyware”, 2017.7.27.
3. https://anroid-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html
'Security_News > 해외보안소식' 카테고리의 다른 글
| 세일즈포스, 데프콘 발표자 보안엔지니어 두명 해고 (0) | 2017.08.14 |
|---|---|
| [2017년 8월 8일] 주요 보안 이슈 (0) | 2017.08.08 |
| 모바일 트로이 목마 Svpeng 변종 등장 (0) | 2017.08.08 |
| 2017-08-07 보안뉴스 (0) | 2017.08.08 |
| 국외 사이버 보안 인력 부족 해소 방안 모색 (0) | 2017.08.08 |