Home > 전체기사
배터리 다 잡아먹는 안드로이드 채굴 코드, 히든마이너
  |  입력 : 2018-03-29 11:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 안드로이드 멀웨어들의 좋은 기능 다 차용한 채굴 코드
배터리 다 닳게 하거나 기기 과열로 작동 멈출 때까지 채굴


[보안뉴스 문가용 기자] 암호화폐를 채굴하는 사이버 범죄자들이 에스락커(SLocker)라는 안드로이드 랜섬웨어에 있는 기능을 일부 차용해 스스로를 보호하고 있는 것으로 나타났다. 이를 발견한 보안 업체 트렌드 마이크로(Trend Micro)는 이 채굴 코드를 히든마이너(HiddenMiner)라고 부른다.

[이미지 = iclickart]


히든마이너는 에스락커와 마찬가지로 기기 관리자(Device Administrator) 기능을 어뷰징한다. 이로써 기기 안에 숨어서 지속적으로 활동을 할 수 있다. 트렌드 마이크로는 히든마이너가 얼마나 활동적으로 작동하는지 기기의 배터리가 다 바닥날 때까지 혹은 기기가 과열로 작동을 멈출 때까지 쉴 새 없이 기기의 자원을 소모한다고 한다.

또한 히든마이너는 사용자가 이 기능을 해제하려고 할 때 기기의 화면을 잠금으로써 관리자 권한을 가진 채 유지하기도 한다. 이 때 안드로이드 운영체제 7.0 혹은 그 이후 버전에 원래 존재하는 오류를 활용한다.

“이는 이전에 나타났었던 안드로이드용 모네로 채굴 멀웨어인 로피(Loapi)와 비슷합니다. 로피 역시 기기의 배터리를 다 닳게 하도록 모네로를 채굴했었거든요. 또한 기기 관리자 권한을 탈취한 뒤로 화면을 잠근다는 것도 비슷합니다.” 트렌드 마이크로의 모바일 위협 분석가인 로린 우(Lorin Wu)의 설명이다.

히든마이너에는 몇 가지 난독화 기술도 포함되어 있다. “앱 레이블을 비워두고 투명한 아이콘을 사용합니다. 유치하지만, 눈에 최대한 안 띄도록 한 것이죠. 그리고 관리자 권한을 갖고 가는 데 성공하면 앱 런처로부터 숨기 시작합니다. 이 때 setComponentEnableSetting()을 호출하죠. 이는 더블히든(DoubleHidden)이라는 안드로이드 애드웨어에 있던 기술입니다.”

왜 사용자들은 이 히든마이너를 설치하는 걸까? “정상적인 구글 플레이 업데이트 앱인 것처럼 화면에 나타나기 때문입니다. 정확히 말하면 com.google.android.provider인 것처럼 가장하죠. 게다가 공식 구글 플레이 로고도 가지고 있고요. 사용자가 링크를 클릭할 때까지 계속해서 ‘공식적인 모습으로’ 화면에 뜹니다.”

사용자가 클릭하는 순간 모네로 채굴은 시작된다. 로린 우는 “히든마이너의 채굴 효율이 뛰어난 편에 속하기 때문에 곧 많은 사이버 공격자들이 사용하기 시작할 것”이라고 경고한다.

트렌드 마이크로는 이 모네로 채굴 코드를 추적했고, 3월 26일을 기준으로 최소 5360 달러의 모네로를 공격자들이 벌어들였을 것이라고 계산하고 있다. 현재까지 피해자들은 인도와 중국에 집중되어 있고, 대부분 서드파티 앱스토어를 방문해서 앱을 설치하다가 이런 피해를 겪는다고 한다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)