연락처 정보 접근·전화 도청·메시지 감시 등 스파이 활동 수행

[보안뉴스 김태형] 사용자 스마트폰의 연락처 정보에 접근하고 SMS를 감시하거나 휴대폰의 상태 변경을 하는 안드로이드 스파이앱이 발견되어 사용자들의 주의가 필요하다.

NTMA연구소의 김남준 팀장은 이 안드로이드 악성 앱의 권한을 분석하고 확인한 결과, 스마트폰 사용자의 연락처 정보에 접근하거나 SMS를 감시 또는 휴대폰의 상태변경 행위에 필요한 권한을 가지고 있는 것으로 분석됐다고 밝혔다.

이 외에도 이 악성 앱은 부팅이 완료되면 자동으로 악성코드가 실행되도록 하는 권한이 발견됐고 G메일 계정을 외부 애플리케이션에서 접근할 수 있도록 하는 권한도 발견됐다.

김 팀장은 “이 악성코드 패키지명은 ‘com.androd.msm’으로 앱명은 ‘Msm’이다. 악성코드의 종류는 ‘Trojan-horse’로 타깃과 제작국은 불분명하다”고 덧붙였다.

▲ 사용자 G메일 계정 탈취

이 악성 앱은 특정 정보를 ju*******@126.com의 계정의 이메일로 전송한다. ‘126.com’이라는 중국 포털사이트의 SMTP를 이용해서 이메일을 전송한다. 이 때 제작자의 이메일 ID와 PW를 찾을 수 있다.

이는 PasswordAuthentication을 이용해 사용자 이름과 PW를 반환한다. 이 PasswordAuthentication을 따라 들어가 보면 사용자 이름과 PW를 반환하는 함수가 존재한다. 즉 PW와 사용자 이름을 수집해서 특정 서버와 이메일 계정으로 전송한다는 얘기다.

▲ 탈취된 G메일 계정의 ID와 PW가 이메일로 전송된 모습

김 팀장은 “소스코드에서 얻은 ID와 PW를 이용해 직접 사이트에 접속하자 수많은 메일이 도착했다. 그러나 대부분 지난 2월에 전송된 것으로 테스트 단계에 사용한 것으로 추정된다”고 설명했다.

또한, 이 악성 앱은 전화가 오면 자동으로 사용자 몰래 녹음기를 실행해 피해자와의 전화 내용을 녹음한다. 녹음을 한 후에는 단말기에 저장한 후에 일정 시간마다 이메일과 서버에 전송한다.

그리고 SMS가 도착하면 SMS의 내용을 저장하고 있다가 특정 시간에 다른 데이터들과 함께 이메일과 특정 서버로 전송한다.

이러한 내용은 현재 도착한 메일에는 삭제되어 있었지만 전송한 메일에는 남아 있어서 추가적으로 확인이 가능했다는 것이 NTMA연구소의 설명이다.

이렇게 수집된 다양한 정보는 로그 형태로 SD카드 디렉토리에 저장한다. 서버의 시간을 불러와서 일정 시간마다 단말기 내에 저장된 정보들을 특정 서버로 전송한다.

김 팀장은 “NTMA연구소 N모바일시큐리티센터에서는 이 애플리케이션을 LEVEL 4(긴급)으로 분류했다. 이 애플리케이션은 기존에 발견된 패턴과는 다른 패턴을 보이고 있고 대화내용 녹음, SMS 감시, GMail 계정 탈취 같은 악성행위를 하고 있어 여러 차례 내용을 보강·수정해 분석보고서를 배포할 예정”이라고 말했다.

NTMA 모바일 악성코드 데이터베이스(NMSmartDB)에서는 이 악성애플리케이션을‘Trojan/androdmsm.Android’으로 등록했다. 이 악성코드 샘플에 대한 자세한 내용은 NTMA연구소 이메일(goodboy@ntma.co.kr)로 요청공문을 보내면 받아 볼 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>