본문내용 바로가기 메인메뉴 바로가기 하단내용 바로가기

최신동향

최신동향 상세보기
신규 안드로이드 스파이웨어 Lipizzan 발견2017.08.07
개요
  • 구글의 안드로이드 보안팀, 안드로이드 유저를 타겟으로 한 Lipizzan이라는 신규 스파이웨어 발견

  

주요내용

 

  • 구글의 안드로이드 보안팀은 공식 구글 플레이 스토어(Google Play Store)에서 Lipizzan* 이라는 신규 스파이웨어 코드를 사용한 앱을 발견하여 제거했다고 발표함(‘17.7.26.)
    * 이스라엘의 ‘Equus Technologies’라는 회사가 개발한 것으로 스스로를 “법집행기관, 정보기관, 국가안보기관을 위한 혁신적인 솔루션을 개발하는 기업”이라고 소개함
 
  1. Lipizzan은 공격자들이 안드로이드 기기에 대한 접근 권한을 얻을 수 있도록 2단계로 정교하게 구성된 다단계 스파이웨어
    - 구글 공식 스토어에서 Lipizzan이 심어진 20개의 앱들을 발견하였으며, 100대 이하의 안드로이드 기기들이 감염된 것으로 파악함
 
  • Lipizzan 코드가 사용된 앱들은 고전적 속임수와 함께 악의적 행위를 2단계로 나누어 실행하여 구글의 보안 감시 시스템(Google's Bouncer security system)을 회피
    - 첫 번째 단계에서 Lipizzan 앱은 Google Bouncer가 악성코드로 인식하지 않도록 합법적인 코드와 함께 제공되어 사용자 기기에 설치됨
    - Lipizzan이 사용자 기기에 설치되면 '라이센스 확인' 단계를 위장하여 2단계 구성 요소를 다운로드 시킴
    - 사용자의 기기에서 특정 데이터를 스캔하고, 점검을 통과하면 2단계 구성 요소가 일반적인 익스플로잇 패키지를 이용하여 관리자 권한을 획득(rooting)한 후 C&C 서버로 데이터를 전송함
    < Lipizzan의 기능 >
    ▶ 통화, VoIP, 장치 마이크 녹음
    ▶ 위치 모니터링
    ▶ 스크린샷 촬영
    ▶ 기기에 내장된 카메라로 사진 촬영
    ▶ 기기 정보 및 파일 가져오기
    ▶ 사용자 정보 가져오기(연락처, 통화목록, SMS, 애플리케이션별 데이터)
    ▶ 아래와 같은 앱들의 데이터 검색
    → Gmail, Hangouts, KakaoTalk, LinkedIn, Messenger, Skype, Snapchat, StockEmail, Telegram, Threema, Viber, Whatsapp
 
  1. 구글은 통합 보안 서비스인 구글 플레이 프로텍트(Google Play Protect)를 통해 해당 스파이웨어에 감염된 기기에서 Lipizzan을 제거하고 새로운 기기에 설치되는 것을 차단하고 있다고 밝힘


 

시사점

 

  1. 최근 개발되는 악성코드들이 더욱 정교하게 보안 시스템을 우회하도록 개발하고 있는 추세이며, 소수 기기들을 타겟팅 하여 공격하고 있음
  • Lipizzan 스파이웨어는 국내 모바일 사용자 대부분이 사용하는 카카오톡 등의 인기 애플리- 케이션들의 데이터를 검색하는 기능도 포함하고 있어 확산될 경우 개인들의 정보를 획득하여 악용될 우려가 있음
     
     


[출처]
1. ITPRO, “Google blocks spyware from Play after Android users targeted”, 2017.7.28.
2. Bleepingcomputer, “Google Discovers New Lipizzan Android Spyware”, 2017.7.27.
3. https://anroid-developers.googleblog.com/2017/07/from-chrysaor-to-lipizzan-blocking-new.html




작성 : 침해사고대응단 종합분석팀
키워드 Lipizzan , 스파이웨어 , 안드로이드