Home > 전체기사
러시아 마트료시카 인형과 닮은 안드로이드 멀웨어 캠페인 발견돼
  |  입력 : 2020-04-08 13:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
안드로이드 6과 7가 특히 취약...펌웨어 바꾸거나 장비 리플래시 시도해야
무려 네 번이나 드로퍼 다운로드 돼...추적 감추고, 알려진 악성 코드 사용 가능해


[보안뉴스 문가용 기자] 삭제가 불가능한 멀웨어인 엑스헬퍼(xHelper)가 발견됐다. 안드로이드 장비들을 감염시키고 있으며, 종국에는 트리아다(Triada)라는 트로이목마를 설치하는 것으로 분석됐다.

[이미지 = iclickart]


엑스헬퍼는 원래부터 그 끈질긴 생명력으로 유명한 멀웨어다. 안드로이드 폰에 끈질기게 남아 있는데, 사용자가 공장 초기화를 하더라도 소용이 없을 정도라고 한다. 작년에 처음 발견됐으며, 최근 다시 활동을 펼치기 시작했다.

보안 업체 카스퍼스키(Kaspersky)에 의하면 최근 발견된 엑스헬퍼는 마치 웜처럼 네트워크에서 퍼져나간다고 한다. 제일 먼저는 피해자를 속여 가짜 앱을 다운로드 받도록 하는 것부터 공격이 시작된다. 현재는 인기 높은 클리너 앱이나 시스템 속도 향상 유틸리티들에 숨어 스마트폰에 설치되는 것이 가장 많이 발견되는 전략이라고 한다.

설치가 완료된 후 앱은 ‘설치된 앱 목록’에는 있지만 바탕화면이나 앱 화면에는 뜨지 않는다. 사용자가 터치할 수 있는 아이콘이 생성되지 않는 것이다. 그러나 배경에서는 드로퍼의 페이로드가 은밀히 추가로 설치된다. 이 페이로드는 사용자의 고유 ID나 생산자, 모델명, 펌웨어 버전 등 핑거프린팅에 관여되는 정보를 수집한다. 이 정보는 원격에 있는 공격자들의 서버로 전송되며, 또 다른 드로퍼가 설치된다.

이 두 번째 드로퍼의 목적은 세 번째 드로퍼를 다운로드 받아 설치하는 것이다. 세 번째 드로퍼는 헬퍼(Helper)라는 이름을 가지고 있는데, 이 헬퍼 역시 또 다른 드로퍼(네 번째)를 다운로드 받아 설치하는 걸 목적으로 하고 있다. 네 번째 드로퍼의 이름은 리치(Leech)다.

이렇게 계속해서 드로퍼를 설치하는 과정이 러시아의 마트료시카와 닮았다고 카스퍼스키는 묘사하기도 했다. 이렇게 계속해서 다운로더를 다운로드 받는 목적은 추적을 어렵게 하고 침투 과정을 혼란스럽게 꾸밈으로써 이미 알려진 악성 모듈을 사용 가능하게 만드는 것에 있다는 설명도 덧붙였다.

리치는 드디어 이 복잡한 캠페인의 최종 목적인 트리아다를 다운로드 받아 설치한다. 트리아다는 여러 가지 익스플로잇을 실행해 루트 권한을 가져가는 기능을 가지고 있다. 카스퍼스키는 안드로이드 6과 7을 기반으로 한 중국 제품들이 특히 취약하다고 경고했다. 루트 권한을 가져간 이후에는 공격자가 시스템 파티션에 곧바로 악성 파일을 심을 수 있게 된다.

여기까지 일이 진행되었다면 트리아다는 안드로이드 시스템 부팅 시 시스템 파티션이 읽기 전용 모드로 마운팅 되는 걸 변경할 수 있다고 한다. 즉, 시스템 파티션을 쓰기 모드로 바꾸는 건데, 그 이유는 forever.sh라는 스크립트를 실행하기 위해서다. 또한 /system/bin 폴더에 추가 실행 파일 몇 가지를 복사해두기도 한다.

system/bin 폴더에 있는 파일들은 삭제가 불가능하다. 따라서 여기에 복제된 악성 파일들도 삭제가 불가능하다. 이 때문에 이 공격이 공장 초기화 이후에도 살아남는 것이다. 또한 시스템 라이브러리인 system/lib/libc.so를 수정해 사용자가 시스템 파티션을 복구시켜 멀웨어를 지우려는 시도도 할 수 없도록 되어 있다. 공격 지속성을 확보한 이후 트리아다는 추가 악성 프로그램을 다운로드 받아 설치한다. 현재까지는 슈퍼유저용 명령을 실행하는 백도어들이 주로 설치되고 있다.

멀웨어를 삭제하는 방법은 다음과 같다.
1) 안드로이드 스마트폰의 복구 모드가 설정되어 있다면, libc.so 파일을 원래 펌웨어에서 추출해 감염된 것에 덮어 쓴다. 그런 후 시스템 파티션으로부터 멀웨어를 삭제한다.
2) 장비를 완전 리플래시(reflash) 한다.
3) 대체 펌웨어를 서드파티 스토어 등에서 구해 설치한다. 하지만 이 경우 일부 기능이 비정상적으로 작동할 수 있다.

3줄 요약
1. 드로퍼를 네 번 다운로드 받는 엑스헬퍼 캠페인이 최근 안드로이드 환경에서 나타남.
2. 가장 마지막에 다운로드 되는 건 트리아다라는 멀웨어.
3. 공장 초기화 해도 삭제되지 않아, 장비 리플래시를 하든가 펌웨어를 다른 것으로 대체해야 함.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)