안드로이드 DU 안티바이러스 시큐리티 앱에서 기기 정보 빼돌려

Check Point Security에서 총 천만에서 오천만건의 다운로드를 기록한 구글 플레이에 등록된 앱인 DU 안티바이러스 시큐리티 (DU Antivirus Security) 앱이 설치된 기기의 정보, 연락처, 전화 기록, 그리고 위치 정보 까지 유출하였다는 보고서를 공개했다. Check Point Security에 따르면, DU 안티바이러스 시큐리티 앱은 해당 정보를 빼돌려 같은 회사 (DU 그룹) 에서 개발한 발신자 정보 제공 앱 (Caller ID & Call Block - DU Caller) 을 위해 사용했으며 Check Point Security는 안티 바이러스 앱은 개인정보 보호를 위해 사용되는데, 이 앱은 정확하게 반대의 일을 했다고 주장했다. 사용자들이 안티바이러스 프로그램을 다운받을때 안티 바이러스 프로그램의 특성상 많은 권한을 요구하는 점을 경계해야 한다고 Check Point Security는 말했다. 

현재 구글 플레이에는 정보 유출 코드가 삭제된 버전으로 업데이트 된 상태다. 정보 유출이 확인된 마지막 버전은 3.1.5 버전으로, 이 버전 이하의 앱 에서는 정보 유출 코드가 포함되어 있을 수 있다. 따라서, 해당 앱을 설치한 사용자는 반드시 최신 버전으로 업그레이드 해야한다. 

또한, Check Point Security는 같은 코드가 30여개의 다른 앱에서 발견되었으며 그 중 12개의 앱은 구글플레이에 등록된 앱이라고 밝혔다. 구글 플레이에 따르면 해당 앱들의 총 다운로드 수는 2천 4백만건에서 8천 9백만건으로, 사용자의 주의가 요구된다. 전체 앱 목록은 원문에서 볼 수 있다. 

그렇다면 이 앱은 어떻게 개인 정보를 유출 했을까? Check Point Security에 따르면, 이 앱은 설치 직후 첫 실행시 기기 정보를 암호화하여 caller.work으로 전송하였는데, 서브 도메인인 reg.caller.work는 PHP로 코딩된 웹페이지로, 호스트 네임(us02-Du_caller02.usaws02)에 DU Caller를 포함하고 있다. 즉, DU의 발신자 정보 앱 서버로 추정할 수 있다고 Check Point Security는 설명했다. 또한 다른 서브 도메인인 vfun.caller.work의 IP는 47.88.174.218로, 해당 IP는 dailypush.news도 호스트 하고 있으며 dailypush.news는 바이두의 직원으로 추정되는 zhanliangliu@gmail.com이 소유하고 있으며 DU 그룹은 바이두 소속이라고 Check Point Security는 밝혔다. 

원문: https://research.checkpoint.com/mobile-anti-virus-app-protect-infect-truth-behind-du-antivirus-security/