파이어아이, 복합공격 가능한 안드로이드 악성코드 발견
최근 파이어아이 연구소에 의해 정상서비스인 것처럼 가장해 백신 프로세스를 중지시키고, 백그라운드로 실행 되면서 다양한 악성행위를 하는 새로운 안드로이드 악성코드가 발견되었다.과거 대부분의 안드로이드 멀웨어는 개인정보유출, 은행인증서유출 등 한가지 악성행위만 수행하였지만 이제는 모든 기능이 포함된 하나의 프레임워크로 제작되고 있고 앞으로 보다 완성된 형태가 될 전망이다.
▲HijackRAT 멀웨어의구조
파이어아이 관계자는 “특히 이러한 프레임워크가 완성되면, Bank Hijacking과 같은 공격에 활용 될 것”이라며 “현재 한국의 주요 은행 8개의 애플리케이션을 이용하는 모바일 사용자들이 비슷한 유형의 공격 타깃으로 확인되었다”고 설명했다.
공격 순서는 다음과 같다.
악성앱 설치-구글 서비스 아이콘 생성 및 GS Process 시작(삭제기능 없음)-C&C 서버 접속 및 명령 수행-주요 악성행위 시작(Pop Window: 정상 은행 앱 삭제후, 악성 은행 앱 설치 유도-Update: 추가 악성파일 다운로드-SMS 업로드- Banking Hijack).
과거에 발견된 안드로이드 멀웨어는 개인정보 유출이나 금융 정보 탈취, 원격 접속 등 한가지 목적으로 수행했지만 이번에 발견된 애플리케이션은 이러한 활동을 모두 한번에 수행하는 진화된 형태로 나타났다.
파이어아이는 가까운 시일 내에 이러한 프레임워크가 완성되면 해커들은 단 30분만에 또 다른 은행을 타깃으로 한 악성 앱을 만들어 낼 수 있다. 또한 IP 주소만으로는 해커의 정체를 알아낼 순 없었지만, 공격자들이 한국 시장을 타깃으로 하고 있다는 것을 발견했다고 전했다.
보다 자세한 내용은 아래 파이어아이 블로그(영문)를 참고하면 된다.
(www.fireeye.com/blog/technical/malware-research/)
<★정보보안 대표 미디어 데일리시큐!★>
데일리시큐 길민권 기자 mkgil@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지