정상 데이팅 앱과 유사...정보 탈취 및 악성코드 다운로드 등 수행

[보안뉴스 김영명 기자] 하마스가 운영하는 것으로 추정되는 아리드바이퍼(Arid Viper) 그룹이 안드로이드 스마트폰 사용자를 표적으로 하는 공격이 발견돼 해당 폰 사용자들의 주의가 필요하다. 시스코 탈로스(Cisco Talos) 팀에 따르면 이번 캠페인은 지난해 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장해 정보를 탈취하고 악성코드를 다운로드하는 등의 행위를 수행한다.


▲‘Skipped Messenger’라는 이름의 앱 실행화면[자료=잉카인터넷]

잉카인터넷 측에 따르면, ‘Skipped’라는 이름으로 유포된 이 악성코드는 악성 동작을 수행하기 위해 다양한 권한을 획득한다. 단말기의 종류와 모델에 따라 일부 차이는 있지만, 기본적으로 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성 동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 강제로 취소한다.


▲접근성 권한 획득 화면 및 알림 권한 획득 화면(좌부터)[자료=잉카인터넷]

이 Skipped 악성코드는 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행하기도 한다. 이밖에도 △업데이트로 위장해 악성 프로그램 다운로드 △원격지와 연결 및 추가 통신 △전·후면 카메라 촬영 및 저장 △오디오 녹음 및 저장 △연락처 이름 및 주소 탈취 △문자메시지 주소, 내용, 날짜 및 타입 탈취 △네트워크 타입, 이메일 주소 및 단말기 정보 탈취 △파일 복제 및 탈취 △설치된 애플리케이션 이름 및 버전 등 탈취 △Sim 카드 정보 탈취 △특정 확장자 및 디렉토리 삭제 △IP 및 MAC 주소 등 네트워크 탈취 △시스템 및 음악 음소거 △메시지 전송 등 다양한 악성 동작을 수행하는 것으로 알려졌다.

잉카인터넷 관계자는 “해당 앱은 수 개월간 발생한 API 공격으로 변종이 나타나거나 추가적인 악성 동작이 발생할 수 있으므로 큰 주의가 필요하다”고 밝혔다. 이어 “이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하는 습관을 가져야 할 것”이라고 강조했다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>