살다

RAT를 탑재한 안드로이드 악성코드 GhostCtrl 주의 본문

퍼담기

RAT를 탑재한 안드로이드 악성코드 GhostCtrl 주의

텅스텐필름 2017. 8. 1. 14:10


개요
  • 트랜드마이크로, 권환 및 데이터 탈취, 모바일 랜섬웨어 등의 기능을 수행할 수 있는 안드로이드 악성코드(GhostCtrl) 발견
     

  

주요내용

 

  • GhostCtrl 악성코드는 유명 앱(whatsapp, Pokemon GO 등)을 가장하여 악성 APK 설치를 유도하며, 사용자가 설치를 취소해도 계속해서 팝업창 생성
  1. 설치 후 아이콘을 삭제하며, com.android.engine 이라는 명칭으로 백그라운드에서 실행 및 C&C 서버와 암호화 통신
  • GhostCtrl 악성코드는 관리자 권한 탈취, 모바일 랜섬웨어 기능, 난독화를 통한 악성 루틴 은닉 기능 등 세 가지 변종이 존재
  1. 그 외에 블루투스 연결 제어, 지정한 전화번호의 문자 메시지 탈취, 암호 삭제 및 재설정, 카메라/비디오 녹화 후 C&C 서버로 전송 등 다양한 기능 수행 가능

<그림1. 모바일 랜섬웨어와 유사한 기능을 수행하는 코드>
모바일 랜섬웨어와 유사한 기능을 수행하는 코드

 

시사점

 

  1. 모바일 OS 최신 업데이트 및 중요 데이터의 주기적인 백업 필요
  • 앱 다운로드 시 요구 권한을 확인하여야 하며, 리뷰를 참조한 후 설치하는 것을 권장
     


[출처]
1. TrendMICRO,, “Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More”, 2017.7.17.
2. BLEEPINGCOMPUTER “GhostCtrl Is an Android RAT That Also Doubles as Ransomware”, 2017.7.17.



작성 : 침해대응단 탐지1팀


--------------------------------------------------


출처 : 보호나라 http://boho.or.kr


반응형