2024-03-29 03:15 (금)
최신 버전의 안드로이드 멀웨어 ‘GhostCtrl’ 등장
상태바
최신 버전의 안드로이드 멀웨어 ‘GhostCtrl’ 등장
  • 페소아 기자
  • 승인 2017.07.24 15:44
이 기사를 공유합니다

감염된 장치의 다양한 기능을 은밀하게 제어 가능해

and-3.jpg
최근 트랜드마이크로 연구원에 의해 발견된 새로운 형태의 악성코드는 이제까지 발견된 정보탈취 코드 중 가장 발전된 형태로 보고됐다.

악성코드를 이용해 공격자는 데이터를 모니터링하고 정보를 도용하며 오디오 및 비디오를 기록하고 전화를 랜섬웨어로 감염시키는 백도어를 열 수 있게 해준다. ‘GhostCtrl’로 명명된 이 악성코드는 감염된 장치의 다양한 기능을 은밀하게 제어 가능하다. 연구원들은 이것은 시작일 뿐이며 멀웨어는 더 발전되어 나타날 것이라고 경고했다.

이 새로운 멀웨어는 윈도우즈, 맥, 리눅스 및 안드로이드 장치를 해커가 원격 제어할 수 있게 해주는 스파이 소프트웨어인 OmniRAT를 기반으로 한 것으로 보인다. OmniRAT와는 달리 GhostCtrl은 완전히 안드로이드만 타깃으로 한다.

GhostCtrl은 총 3가지 버전으로 되어 있다. 하나는 정보탈취 및 장치 제어 기능을 지닌 버전, 다른 하나는 하이재킹에 더 많은 기능을 추가한 버전, 마지막 하나는 이전 버전의 기능들을 결합하여 더 발전된 악성행위 능력을 지니고 있는 버전이다.

여기에는 전화기의 데이터를 실시간으로 모니터링하는 기능과 통화로그, 문자 메시지 레코드, 연락처, 전화번호 위치 및 브라우저 기록을 포함하여 장치의 데이터를 훔치는 기능이 포함된다. GhostCtrl은 피해자의 안드로이드 버전, Wifi, 배터리 수준 및 거의 모든 다른 활동에 대한 정보도 수집할 수 있다. 또한 GhostCtrl은 오디오 및 비디오를 은밀하게 기록할 수 있어 공격자가 희생자에 대한 전폭적인 첩보활동을 수행할 수 있다.

사용자는 WhatsApp 및 Pokemon Go를 포함해 합법적인 인기앱의 가짜 버전을 다운로드하여 멀웨어에 감염된다. 이 APK에는 'com.android.engine'라는 백도어 기능이 포함되어 있다. 이는 사용자가 속임수를 사용해 올바른 응용프로그램이라고 생각하도록 유도한다. 실제 작업 수행은 명령 및 제어 서버에 연결되어 정보 탈취에 대한 지침을 받을 때 이루어진다.

심지어 GhostCtrl에는 장치 잠금 기능이 있어 이를 통해 랜섬웨어로 동작할 수도 있다. 그러나 아직 이 기능이 사용된 경우는 아직까지 보이지 않았으며, 멀웨어가 비밀스럽게 활동하는 것을 중요시 한다는 것을 고려할 때 공격자가 전략을 대폭 변경하지 않는 한 빠른 시일내에 그러한 형태로 배포될 것 같지는 않아 보인다.

사용자는 우선 합법적인 출처에서 다운로드한 합법적인 응용프로그램만 설치하도록 주의를 기울여야 한다. 트렌드마이크로 연구원은 또한 안드로이드 장치가 가능한 최신 상태로 유지되어야 하며 기업은 악성코드 설치를 방지하기 위해 회사 장치에 대한 사용권한을 제한해야 한다고 권고했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★