Triout, 정상 앱을 스파이 앱으로 만드는 악성코드
정상적인 안드로이드 앱을 스파이웨어(spyware)로 변조하는 악성코드 프레임워크(malware framework)가 발견됐다. 비트디펜더 연구팀이 발견해서 '트라이아웃(Triout)'이라고 불렀다.
트라이아웃으로 변조된(repackaged) 악성 앱들은 5.15일부터 발견되기 시작했다. 분석된 표본은 구글 플레이 스토어에 있었던 정상 앱과 완전히 똑같은 모양을 하고 있으며, 실제로 똑같은 기능도 한다. 심지어 진짜 구글의 디버그 인증서로 서명까지 돼 있었다.
이들의 출처는 정확하게 밝혀지진 않았지만, 연구팀은 제3의 앱스토어나 해커가 만든 악성 사이트로 추정했다. 이 외에도 커뮤니티 게시물, 파일공유 사이트, 각종 공개자료실 등이 악성코드의 주된 유포 경로이다.
트라이아웃의 감시 능력은 정부 지원 해커들이 사용하는 수준의 것으로 평가됐다. 다만 분석을 방해하는 난독화(obfuscation)는 미흡해서 아직 완성작은 아니라는 추측을 불러왔다.
트라이아웃은 통화 녹음, SMS 수신 내역, 상세한 통화 내역, 촬영한 모든 사진과 동영상 등 개인정보를 C2 서버로 전송한다. 또한 자신을 완벽하게 은폐하여 감염된 기기 상에서 보이지 않는다.
여기서 배울 가장 중요한 것은, 앱은 반드시 신뢰할 수 있는 출처에서 받아야 한다는 것이다. 이렇게 정교하게 변조된 앱을 판별하는 것은 사실상 불가능하기 때문이다.
현재로선 구글 플레이 스토어가 가장 믿을 만하다고 생각한다. 프로젝트 제로팀 등 보안 역량이 뛰어나고 스토어 보안에 많은 공을 들이고 있기 때문이다. 물론 플레이 스토어에서 악성 앱이나 가짜 앱이 발견되는 일이 종종 있지만, 그 악성의 정도는 비교적 경미한 편이다.
치명적인 악성 앱은 대부분 피싱이나 악성 사이트를 통해 전파됐다. 아마존이나 우리 나라의 원스토어 등 제3자 스토어의 신뢰성에 대해서는 잘 모르겠다.
다음으로 권한을 허용할 때 신중해야 한다는 것이다. 이런 여러 스파이 행위를 하려면 많은 권한이 필요하기 때문이다.
참고 자료
트라이아웃으로 변조된(repackaged) 악성 앱들은 5.15일부터 발견되기 시작했다. 분석된 표본은 구글 플레이 스토어에 있었던 정상 앱과 완전히 똑같은 모양을 하고 있으며, 실제로 똑같은 기능도 한다. 심지어 진짜 구글의 디버그 인증서로 서명까지 돼 있었다.
이들의 출처는 정확하게 밝혀지진 않았지만, 연구팀은 제3의 앱스토어나 해커가 만든 악성 사이트로 추정했다. 이 외에도 커뮤니티 게시물, 파일공유 사이트, 각종 공개자료실 등이 악성코드의 주된 유포 경로이다.
트라이아웃의 감시 능력은 정부 지원 해커들이 사용하는 수준의 것으로 평가됐다. 다만 분석을 방해하는 난독화(obfuscation)는 미흡해서 아직 완성작은 아니라는 추측을 불러왔다.
트라이아웃은 통화 녹음, SMS 수신 내역, 상세한 통화 내역, 촬영한 모든 사진과 동영상 등 개인정보를 C2 서버로 전송한다. 또한 자신을 완벽하게 은폐하여 감염된 기기 상에서 보이지 않는다.
여기서 배울 가장 중요한 것은, 앱은 반드시 신뢰할 수 있는 출처에서 받아야 한다는 것이다. 이렇게 정교하게 변조된 앱을 판별하는 것은 사실상 불가능하기 때문이다.
현재로선 구글 플레이 스토어가 가장 믿을 만하다고 생각한다. 프로젝트 제로팀 등 보안 역량이 뛰어나고 스토어 보안에 많은 공을 들이고 있기 때문이다. 물론 플레이 스토어에서 악성 앱이나 가짜 앱이 발견되는 일이 종종 있지만, 그 악성의 정도는 비교적 경미한 편이다.
치명적인 악성 앱은 대부분 피싱이나 악성 사이트를 통해 전파됐다. 아마존이나 우리 나라의 원스토어 등 제3자 스토어의 신뢰성에 대해서는 잘 모르겠다.
다음으로 권한을 허용할 때 신중해야 한다는 것이다. 이런 여러 스파이 행위를 하려면 많은 권한이 필요하기 때문이다.
참고 자료
댓글
댓글 쓰기