기존의 로키봇과 같은 C&C 서버 사용...제작자 같은 듯
키로깅 기능과 랜섬웨어 기능도 포함하고 있어
[보안뉴스 문가용 기자] 안드로이드 7과 8 버전을 겨냥한 새로운 트로이목마가 발견됐다. 로키봇(LokiBot)과 똑같은 C&C 서버를 사용한다는 특징이 있다고 보안 업체 쓰레트패브릭(Threat Fabric)이 발표했다.
[이미지 = iclickart]
이 멀웨어의 이름은 미스터리봇(MysteryBot)으로, 로키봇의 업그레이드 버전이거나, 로키봇 제작자가 만든 완전히 새로운 멀웨어 패밀리인 것으로 보인다. 로키봇보다 발전된 명령어들을 실행할 수 있으며 보다 나은 네트워크 통신 체제를 갖추고도 있다.
미스터리봇은 일단 뱅킹 트로이목마로, 기존의 금융권 트로이목마들이 가지고 있는 기능들을 거의 갖추고 있다. 여기에 키로깅과 랜섬웨어 기능도 추가로 탑재하고 있다고 쓰레트패브릭의 전문가들은 설명한다.
미스터리봇이 수행할 수 있는 기능들은 다음과 같다. 1) 특정 번호로 전화 걸기, 2) 연락처 목록 정보 가져오기, 3) 전화 전달하기, 4) 모든 SMS 메시지 복사하기, 5) 키스트로크 로깅하기, 6) 외부 저장소의 파일을 암호화 하기, 7) 모든 연락처 정보 지우기, 8) SMS 메시지를 연락처에 저장된 모든 사람들에게 보내기, 9) 디폴트 SMS 앱 변경하기, 10) USSD 번호로 전화 걸기, 11) 모든 SMS 메시지들 지우기, 12) SMS 메시지 보내기.
여기에다가 피싱 페이지를 정상적인 애플리케이션 화면 위에 오버레이 시키는 기능도 갖추고 있다. 보안이 강화된 리눅스인 SELinux와 새로운 안드로이드 버전에 있는 여러 보안 장치들은 진짜 앱 위로 가짜 윈도우가 오버레이되는 걸 막도록 되어 있다. 그런데 미스터리봇은 인드로이드의 PACKAGE_USAGE_STATS 허용을 통해 이러한 기능을 우회한다. 이 때 AccessibilityService를 남용한다.
또한 어도비 플래시 플레이어 앱인 것처럼 가장해 사용자들에게 Usage Access를 허용하도록 요청한다. 사용자들의 허용과 동시에 악성 기능들의 제한이 풀린다. 미스터리봇은 제일 먼저 전면에 있는 애플리케이션들의 패키지 이름을 모니터링 한다. 이 중 오버레이가 가능한 애플리케이션은 100개가 넘는다. 모바일 뱅킹 앱과 소셜 플랫폼 앱도 여기에 포함된다.
미스터리봇에는 키스트로크를 로깅하는 새로운 메소드도 있다. 화면 위에 있는 키의 위치들을 계산하고, 그 위로 다른 View를 설치한다. 이 View의 너비와 높이 값은 0픽셀이며, 어떤 키가 눌리는지 등록하는 기능을 가지고 있다. 하지만 아직 코드가 완성된 것은 아니라고 연구원들은 설명한다. “키스트로크 로그를 C&C 서버로 전송하는 기능이 아직 없어요.”
쓰레트패브릭에서는 잠금장치 혹은 랜섬웨어 장치 또한 발견할 수 있었다. 이 기능들은 트로이목마 기능과 다른, 별도의 대시보드를 통해 관리되고 있었다. “미스터리봇은 External Storage라는 디렉토리에 있는 파일들을 암호화시킵니다. 그리고 원래 파일들을 삭제하기까지 하죠. 그런 후 비밀번호로 보호되어 있는 집 압축파일로 교환합니다. 불행 중 다행으로 비밀번호는 전부 동일합니다.”
암호화가 전부 끝나면 미스터리봇은 피해자가 볼 수 있도록 하는 메시지를 화면에 띄운다. 피해자가 불법 성인 콘텐츠를 열람했으며, 이 문제를 해결하기 위해서는 해당 이메일로 연락을 하라는 내용이다. 당연히 이 이메일은 공격자의 것이다.
“비밀번호를 분석했을 때, 제일 처음 8글자 길이에 불과하다는 걸 알아냈습니다. 라틴계 알파벳만 사용 가능하다는 것도요(대문자와 소문자 모두). 여기에 숫자도 같이 조합되어 있더군요. 사용자에게 배정되는 ID는 0~9999 사이의 숫자로만 가능합니다. 즉 여러 피해자가 같은 번호를 배정받았다는 뜻이 됩니다.”
쓰레트패브릭은 “이 멀웨어를 만든 사람이 꽤나 공을 들인 것으로 보인다”고 결론을 내렸다. “제작자가 보안 기능들에 대한 여러 가지 공략법을 생각해냈어요. 시간도 많이 들이고, 고민도 많이 해서 이렇게 복합적인 뭔가가 탄생한 것이 아닐까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
키로깅 기능과 랜섬웨어 기능도 포함하고 있어
[보안뉴스 문가용 기자] 안드로이드 7과 8 버전을 겨냥한 새로운 트로이목마가 발견됐다. 로키봇(LokiBot)과 똑같은 C&C 서버를 사용한다는 특징이 있다고 보안 업체 쓰레트패브릭(Threat Fabric)이 발표했다.
[이미지 = iclickart]
이 멀웨어의 이름은 미스터리봇(MysteryBot)으로, 로키봇의 업그레이드 버전이거나, 로키봇 제작자가 만든 완전히 새로운 멀웨어 패밀리인 것으로 보인다. 로키봇보다 발전된 명령어들을 실행할 수 있으며 보다 나은 네트워크 통신 체제를 갖추고도 있다.
미스터리봇은 일단 뱅킹 트로이목마로, 기존의 금융권 트로이목마들이 가지고 있는 기능들을 거의 갖추고 있다. 여기에 키로깅과 랜섬웨어 기능도 추가로 탑재하고 있다고 쓰레트패브릭의 전문가들은 설명한다.
미스터리봇이 수행할 수 있는 기능들은 다음과 같다. 1) 특정 번호로 전화 걸기, 2) 연락처 목록 정보 가져오기, 3) 전화 전달하기, 4) 모든 SMS 메시지 복사하기, 5) 키스트로크 로깅하기, 6) 외부 저장소의 파일을 암호화 하기, 7) 모든 연락처 정보 지우기, 8) SMS 메시지를 연락처에 저장된 모든 사람들에게 보내기, 9) 디폴트 SMS 앱 변경하기, 10) USSD 번호로 전화 걸기, 11) 모든 SMS 메시지들 지우기, 12) SMS 메시지 보내기.
여기에다가 피싱 페이지를 정상적인 애플리케이션 화면 위에 오버레이 시키는 기능도 갖추고 있다. 보안이 강화된 리눅스인 SELinux와 새로운 안드로이드 버전에 있는 여러 보안 장치들은 진짜 앱 위로 가짜 윈도우가 오버레이되는 걸 막도록 되어 있다. 그런데 미스터리봇은 인드로이드의 PACKAGE_USAGE_STATS 허용을 통해 이러한 기능을 우회한다. 이 때 AccessibilityService를 남용한다.
또한 어도비 플래시 플레이어 앱인 것처럼 가장해 사용자들에게 Usage Access를 허용하도록 요청한다. 사용자들의 허용과 동시에 악성 기능들의 제한이 풀린다. 미스터리봇은 제일 먼저 전면에 있는 애플리케이션들의 패키지 이름을 모니터링 한다. 이 중 오버레이가 가능한 애플리케이션은 100개가 넘는다. 모바일 뱅킹 앱과 소셜 플랫폼 앱도 여기에 포함된다.
미스터리봇에는 키스트로크를 로깅하는 새로운 메소드도 있다. 화면 위에 있는 키의 위치들을 계산하고, 그 위로 다른 View를 설치한다. 이 View의 너비와 높이 값은 0픽셀이며, 어떤 키가 눌리는지 등록하는 기능을 가지고 있다. 하지만 아직 코드가 완성된 것은 아니라고 연구원들은 설명한다. “키스트로크 로그를 C&C 서버로 전송하는 기능이 아직 없어요.”
쓰레트패브릭에서는 잠금장치 혹은 랜섬웨어 장치 또한 발견할 수 있었다. 이 기능들은 트로이목마 기능과 다른, 별도의 대시보드를 통해 관리되고 있었다. “미스터리봇은 External Storage라는 디렉토리에 있는 파일들을 암호화시킵니다. 그리고 원래 파일들을 삭제하기까지 하죠. 그런 후 비밀번호로 보호되어 있는 집 압축파일로 교환합니다. 불행 중 다행으로 비밀번호는 전부 동일합니다.”
암호화가 전부 끝나면 미스터리봇은 피해자가 볼 수 있도록 하는 메시지를 화면에 띄운다. 피해자가 불법 성인 콘텐츠를 열람했으며, 이 문제를 해결하기 위해서는 해당 이메일로 연락을 하라는 내용이다. 당연히 이 이메일은 공격자의 것이다.
“비밀번호를 분석했을 때, 제일 처음 8글자 길이에 불과하다는 걸 알아냈습니다. 라틴계 알파벳만 사용 가능하다는 것도요(대문자와 소문자 모두). 여기에 숫자도 같이 조합되어 있더군요. 사용자에게 배정되는 ID는 0~9999 사이의 숫자로만 가능합니다. 즉 여러 피해자가 같은 번호를 배정받았다는 뜻이 됩니다.”
쓰레트패브릭은 “이 멀웨어를 만든 사람이 꽤나 공을 들인 것으로 보인다”고 결론을 내렸다. “제작자가 보안 기능들에 대한 여러 가지 공략법을 생각해냈어요. 시간도 많이 들이고, 고민도 많이 해서 이렇게 복합적인 뭔가가 탄생한 것이 아닐까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
