IT 이야기/보안 이슈

Android 해킹앱 "AndroRAT"의 새로운 아종발견 - 일본서버호스팅 제이피서버

KDSVPN 2018. 3. 8. 11:24
반응형

 

 

 

 

Android 전용 해킹 앱 "AndroRAT"("ANDROIDOS_ANDRORAT.HRXC"로 검출)의 새로운 아종이 확인되었습니다.

이 해킹 앱은 "Remote Access Tool(RAT)"에서 사일런트 인스톨, 셸 명령어 실행, Wi-Fi패스워드의 수집,

화면 캡쳐와 같은 부정 활동 때문에 취약성을 이용하고 단말기를 경로화합니다.

이 AndroRAT의 아종은 2016년에 공표된 취약성 "CVE-2015-1805"를 이용하고, 권한을 필요로 하는

각종 불법 활동을 실행합니다.

CVE-2015-1805는 Marshmallow보다 이전의 Android버전에 영향을 줍니다.


Windows를 대상으로 하는 RAT는 오래 전부터 확인됐으며, 이번에 Android를 노리는 RAT이 확인된 것도

놀랍지 않습니다.

RAT가 시스템 전체를 조율하려면 보통 뭔가 취약성을 공격함으로써 루트 권한을 취득할 필요가 있습니다.

2012년에 확인된 AndroRAT는 원래 Android단말을 원격으로 제어하기 위한 오픈 소스의 클라이언트 및

서버 애플리케이션을 개발하는 대학의 프로젝트로서 시작되었습니다.

교육 목적의 프로젝트였지만, 그 기능을 생각하면 사이버 범죄자의 주목을 끈것도 당연합니다.

 

 

 

<취약성을 공격하는 코드>

 

 

이 AndroRAT의 새로운 아종은 확인되지 않은 URL로부터 다운로드되는 것으로 침입한다고 생각되고

있으며, "TrashCleaner"이라는 유틸리티의 앱으로 위장하고 있습니다.

최초 기동시는 설치되어 있는 계산기 앱과 비슷한 중국어 계산기 앱을 설치하도록 사용자를 유도합니다.

동시에 TrashCleaner아이콘은 단말 화면에서 삭제되고, 배경으로 RAT가 활성화됩니다.

 

 

 

 

<해킹앱 TrashCleaner의 아이콘>

 

 

 

<중국어 계산기 앱의 아이콘>

 

 

 

공격자는 여러가지 해킹 활동을 시작하는 명령을 원격 서버로부터 송신하고, 설정 변경이 가능한

RAT서비스를 통제합니다.

이번에 확인된 아종은 권한을 필요로 하는 불법 활동을 실행하기 위해서, RAT에 편입된 취약성

공격 기능을 이용하고 단말기를 경로화합니다.

다음은 원래 AndroRAT에서 확인된 해킹 활동의 일람입니다.

 

▼ 음성 녹음
▼ 단말의 카메라를 사용하여 사진을 촬영
▼ 단말기 모델, 전화 번호, IMEI 같은 시스템 정보의 절취
▼ 단말이 접속하고 있는 Wi-Fi네트워크 이름의 절취
▼ 수신 및 발신 이력의 절취
▼ 모바일 네트워크 기지국 정보를 바탕으로 위치 정보의 절취
▼ GPS위치 정보의 절취
▼ 연락처의 절취
▼ 기기 안의 파일의 절취
▼ 실행 중 앱 목록 정보의 절취
▼ 문자 메시지 서비스(SMS)절취
▼ 송수신하는 SMS의 감시


상기 기능에 더해, 이번에 확인된 아종은 권한을 필요로 하는 다음과 같은 불법 활동을 실행합니다.

 

▼ 모바일 네트워크, 스토리지, 루트화 여부 등의 시스템 정보의 절취
▼ 설치된 앱 목록 정보의 절취
▼ 초기 설치된 브라우저 앱에서 Web열람 이력을 절취
▼ 캘린더 앱의 이벤트 정보를 절취
▼ 통화 녹음
▼ 대상 단말에 파일을 업로드
▼ 전면 카메라에 의한 고해상도 사진 촬영
▼ 위조한 SMS의 송신 및 삭제
▼ 화면 캡쳐
▼ 셸 명령어 실행
▼ Wi-Fi패스워드의 절취
▼ 키로깅을 위해 "사용자 보조 서비스"를 몰래 유효화

 

 

■ 취약성"CVE-2015-1805"의 영향을 받은 Android버전


Google은 2016년 3월에 CVE-2015-1805 대처하는 갱신 프로그램을 공개하고 있습니다.

그러나, 갱신 프로그램이 보도되지 않은 단말, 전송까지 기간을 요하는 단말은 이번에 확인된

AndroRAT의 새로운 아종에 영향을 받을 수 있습니다.

이 취약성이 남은 Marshmallow 보다 전의 낡은 버전의 Android는 여전히 많은 모바일 사용자에 의해서

이용되고 있습니다.

 

■ 피해를 방지를 위해서는?


AndroRAT 같은 위협에 노출되지 않기 위해, 유저는 서드 파티의 앱 스토어에서 앱을 다운로드하면 안됩니다.

정규 앱 스토어에서만 앱을 다운로드함으로써 보안을 대폭 향상시킬 수 있습니다.

또 정기적으로 단말 운영 체계(OS)을 갱신함으로써 새로운 취약성을 이용하는 위협의 영향을 줄이는 것이

가능합니다.

 

 

 

 

 

 

 

 

반응형
저작자표시 (새창열림)