각종 유명 메신저 프로그램에서 통신 가로채...그러기 위해 루트 권한 탈취
파티션에 자가 복제...화면 잠금 장치도 풀 수 있게 해주는 기능 포함돼[보안뉴스 문가용 기자] 최근 안드로이드 환경에서 새로운 스토커웨어가 발견됐다. 시스템 파티션에 자가 복제를 꾸준히 하고, 화면 잠금 패턴이나 비밀번호와 연관 있는 해시 값을 훔쳐내는 기능을 가지고 있다. 이 때문에 사용자가 화면을 잠그더라도 소용이 없게 된다고 한다.
[이미지 = iclickart]
이 스토커웨어는 여태까지 등장했던 다른 여러 스토커웨어와 비교했을 때 상당히 높은 수준에 있는 것으로 분석됐다. 보통 스토커웨어라고 하면 피해자의 현지 위치 정보를 전송하고, 가끔 SMS나 통화 데이터를 가로채는 게 거의 전부이기 때문이다.
이 멀웨어를 조사한 보안 업체 카스퍼스키(Kaspersky)는 모니터마이너(MonitorMinor)라는 이름을 붙였다. 기본적인 스토커웨어 기능 외에 라인(LINE), 지메일, 제일로(Zalo), 인스타그램, 페이스북, 킥(Kik), 행아웃, 바이버, 하이크 뉴스 앤 콘텐츠(Hike News & Content), 스카이프, 스냅챗, 저스토크(JusTalk), 보팀(BOTIM)과 같은 통신 관련 애플리케이션에서 메시지를 가로채는 기능도 가지고 있다고 한다.
안드로이드에서는 위에서 언급된 애플리케이션들이 샌드박스 처리된다. 즉 서로가 서로에게 직접 통신을 할 수 없다는 것이다. 따라서 이 애플리케이션들을 전부 공격하려면 루트 권한이 필요하다. 모니터마이너가 여러 스토커웨어 기능에 더해 여러 메시징 애플리케이션을 공격한다는 건 루트 권한을 가지고 있다는 뜻이 된다.
이를 위해 모니터마이너는 슈퍼유저 유형의 앱을 설치한다. 그런 후 권한을 상승시켜 모든 앱에 대해 접근할 수 있게 된다. 카스퍼스키의 설명에 의하면 “모니터마이너는 /data/system/gesture.key라는 파일을 피해자의 시스템에 저장한다”고 한다. “이 파일은 모니터마이너 운영자들이 피해자와 물리적으로 가까이 있을 때 잠금장치를 해제할 수 있게 해주는 것입니다.” 카스퍼스키는 모바일 플랫폼을 겨냥한 위협 중 잠금장치를 해제하는 파일까지 발견된 건 이번이 처음이라고 한다.
스토커웨어는 이렇게 취득해 낸 루트 권한을 사용해 시스템 파티션에 스스로를 설치하기도 한다. 각 시스템 파티션에 읽기 및 쓰기 권한을 가지게 되니, 스스로를 자유롭게 복제하는 것이다. 복제한 후에는 파티션을 읽기 전용 모드로 바꾸는데, 이 때문에 사용자는 평범한 OS 도구를 가지고 모니터마이너를 삭제하기가 매우 어려워진다.
루트 권한을 얻는 데 실패하는 경우도 있다. 그럴 때 모니터마이너는 접근성 서비스 API(Accessibility Services API)를 악용해 위에 언급한 메시징 앱들에서 발생하는 이벤트들을 가로챈다. 여기에 키로거 기능도 가지고 있어 피해자가 타자로 치는 모든 내용을 가져갈 수도 있다. 클립보드 모니터링 기능도 있어 정보가 꼼꼼하게 빠져나가기도 한다.
모니터마이너를 사용할 경우 공격자들은 SMS 명령어를 통해 장비를 제어할 수 있고, 장비에 달린 카메라를 통해 실시간으로 피해자를 모니터링할 수도 있으며, 마이크로폰으로 여러 가지 소리를 녹음할 수도 있게 된다. 크롬 브라우저에서 사용자의 브라우징 히스토리를 파악하거나 그 외 다른 앱들에서 통계 데이터도 빼낼 수 있다. 내부 저장소, 연락처, 시스템 로그에도 접근 가능하다.
현재 이 멀웨어에 가장 큰 피해를 입은 건 인도다. 감염자의 14.71%가 인도에서 나왔다. 그 다음은 11.76%를 기록한 멕시코고, 그 뒤를 독일, 사우디아라비아, 영국이 근소한 차이로 이어가고 있다. 하지만 카스퍼스키는 정확한 피해자 수를 공개하지 않고 있다.
카스퍼스키는 모니터마이너의 코드에서 지메일 계정을 하나 발견했다. 한 인도인의 것으로 보이는데, 이 사실과 피해자가 인도에서 가장 많이 발견됐다는 것을 통해 ‘공격이 인도에서 출발했을 가능성이 높다’고 결론을 내릴 수 있다. 하지만 멀웨어 제어판이 영어와 터키어로 되어 있다는 것이 추가로 발견되기도 했다.
3줄 요약
1. 안드로이드에서 새롭게 발견된 멀웨어, 모니터마이너.
2. 스토커웨어로 분류되나 기본 스토커웨어보다 훨씬 뛰어난 성능 자랑.
3. 자가 복제 통한 공격 지속성도 우수하고, 화면 잠금 장치도 뚫어낼 수 있음.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
[출처 : 보안뉴스(www.boannews.com), https://www.boannews.com/media/view.asp?idx=87033&page=1&mkind=1&kind=]
