안드로이드 모바일 사용자 정보 훔쳐가는 악성앱 ‘Misc.Android.InfoStealer’ 발견
설정앱 설치 시 기기 정보, 사용자가 현재 어떤 앱 실행하는지 등 실시간으로 정보 전송

[보안뉴스 김경애 기자] 안드로이드 모바일 사용자 정보를 훔쳐가는 악성앱 ‘Misc.Android.InfoStealer’이 발견됐다. 이 악성앱은 게임의 이용을 돕는 게임패드와 연결되는 설정 앱으로 과도한 권한을 요구하며 권한을 이용해 사용자 몰래 기기 정보를 수집하고 전송한다.


안드로이드 기기와 연결된 게임패드의 키 맵핑 기능 활용을 위해서는 제조사에서 제공하는 설정 앱을 설치해야 한다. 설정앱과 설명서는 제작사의 홈페이지에서 받을 수 있다. 그러나 설명서와 제작사 홈페이지 어디에서도 기기와 사용자 정보를 수집한다는 내용을 찾아볼 수 없다.

설정앱 설치를 진행하면 사용자에게 기기 상태, 인터넷 등 무려 30개에 달하는 권한을 요구한다.

해당 앱은 권한을 활용해 다양한 사용자 정보를 수집하고 수집된 정보를 제조사의 서버로 전송한다. 수집 및 전송 되는 정보는 △디바이스 정보: 기기 아이디, 브랜드, 제조사, 기기 모델 정보, 망사업자 정보, 기기 사용 국가, 네트워크 사업자 정보, GSM 관련 정보 △위치 정보: 국가, 언어, 위도, 경도 △네트워크 정보: 네트워크 활성화 여부, 종류 (데이터, 와이파이) △주변 맥 주소 수집 △기기에서 실행되고 있는 앱 정보 △기기에 설치되어 있는 앱 패키지명 리스트 △CPU 정보 수집: 프로세서 타입, 특징, 제조사, 시리얼 정보까지 수집한다.

이에 대해 이스트시큐리티 측은 “앱 설치 후 실행을 하게 되면 최고 관리자 권한 획득을 시도 한다”며 “최고 관리자 권한을 획득하면 기기를 편하게 조작할 수 있도록 도와주는 ‘busybox’를 활용해 폴더 생성, 권한 부여, 파일 복사 등을 수행한다”고 밝혔다.

busybox프로그램은 해당 앱 내부의 ‘assets’ 폴더에 포함돼 있다. 여기에는 다양한 파일들이 포함돼 있으며, 이 파일들은 패드의 사용과 관련된 설정 파일이다.

쉘 명령어를 통해 실행되는 ‘motionelf_server’ 파일의 경우 앱을 삭제해도 백그라운드에서 계속 실행되며, 완전히 삭제하기 위해서는 기기의 재부팅을 해야 한다. 해당 파일은 기기 내부 설정을 조정하는 파일로 분석됐다.

수집된 정보는 네트워크를 통해 유출된다. 기기 정보를 시작으로 패드와 상관없이 사용자가 현재 어떤 앱을 실행하는지까지 실시간으로 전송된다.

HTTP 전송 캡쳐 화면으로 다양한 정보가 전송 되고 있음을 알 수 있다. 정보가 전송되는 사이트에 ‘Pandora’라는 문구가 포함돼 있으며, 이는 제작사에서도 수집하는 정보가 민감한 정보라는 것을 알고 있을 것으로 추측된다.

이와 관련 이스트시큐리티 측은 “해당 앱은 사용자에게 어떠한 고지도 하지 않고 과도한 정보를 수집하며, 수집한 정보들을 제작사의 서버로 전송하고 있다”며 “일부 앱에서도 비슷한 정보를 수집하고 전송하고 있지만, 사용자의 동의를 받고 있다. 사용자의 정보를 몰래 수집해 제작사 마음대로 사용하는 문화는 사라져야 한다”며 “필요불가결하게 사용자들의 정보를 수집해야 한다. 어떤 정보가 수집되고 전송되는지 정확하게 사용자에게 알리고 동의를 받아야 한다”고 지적했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>