지금까지 발견된 악성앱 중 가장 많은 기능을 갖고 있는 안드로이드 백도어, 'GhostCtrl'

최근 GhostCtrl 악성코드의 세번째 버전이 발견되었습니다. 이번에 발견된 변종은 기존의 악성코드에서 더 많은 기능들이 추가된 것으로 확인되었습니다. 

다음을 GhostCtrl v3 버전 중  resources.arsc 파일의 분석화면을 보면, 이 악성코드가 OmniRAT의 변종이라는 것을 알 수 있습니다. 

GhostCtrl 백도어 기능

GhostCtrl 백도어는 기본적으로 OmniRAT 플랫폼을 기반으로 하며, 이는 블랙마켓에서 약 $25~$75선에서 판매되고 있습니다. 

이 악성코드는 암호화 된 C&C 통신을 하며, 하달받는 명령에는 악성코드 및 DATA 대상이 포함되어 있습니다. 이를 통하여 공격자는 공격대상을 지정하고 다양한 악성행위를 할 수 있습니다. 

공격자는 원격 명령을 통하여 감염된 휴대폰을 실시간으로 모니터링 할 수 있으며, 휴대폰에 있는 사진 다운로드 및 파일 업로드, C&C 서버 통신, 지정된 번호로 SMS/MMS전송 등의 행위를 할 수 있습니다. 이 밖에도 GhostCtrl은 다음과 같은 비교적 특수한 행위도 할 수 있습니다. 

1. 디바이스의 홍채인식 시스템 통제

2. 사용자 몰래 동영상저장 혹은 음성녹음

3. 텍스트 음성변환기능 사용

4. 계정 비밀번호 재설정 

5. 감염 휴대폰으로 하여금 다른 소리가 날 수 있도록 설정

6. 통화 강제 종료

7. 감염된 휴대폰의 블루투스를 이용하여 또 다른 디바이스와 연결

GhostCtrl은 통화기록, 문자, 주소록, 사진, IMEI등 각종 정보들을 탈취할 수 있습니다. 

GhostCtrl은 어떻게 자신을 숨기나?

GhostCtrl은 주로 인기있는 어플(예를들어 WhatsApp, Pokemon Go등)로 위장합니다. 

보안연구원들은 "해당 악성 앱이 실행된 후에, 원본 파일 중의 문자열에 대해 Base64 디코딩을 하며, 이를 통하여 악성 apk를 획득하며, 사용자에게 설치를 유도한다. 사용자가 설치 화면에서 취소를 누르면 또 다시 설치 팝업이 뜰 것이다. 설치가 완료된 후에는, apk는 악성 프로세스를 백그라운드에서 실행시킨다"

GhostCtrl은 아이콘이 존재하지 않으며, 백도어의 APK 패키지 이름은 com.android.engine로 일반적으로 사용자들은 정상적인 시스템으로 오해합니다. 이밖에 GhostCtrlv3는 난독화 기술을 통하여 분석을 어렵게 합니다. 

주의할 점은, GhostCtrl 백도어는 Windows 플랫폼 악성코드인 RETADUP 웜과 결합하여 공격할 수도 있습니다. 

알약안드로이드 에서는 현재 해당 악성코드에 대하여 Trojan.Android.Dropper로 탐지하고 있습니다 .

출처 : 

https://www.helpnetsecurity.com/2017/07/17/android-backdoor-ghostctrl/