중국에서 제작된 Hummer 악성코드 기술 분석 보고서

중국에서 제작된 Hummer 악성코드 기술 분석 보고서

치타모바일은 2016년 초부터 인도에서 발생한 TOP10 모바일 악성코드들에 대해 분석했습니다. 해당 악성코드들은 특정 악성코드 패밀리와 관련이 있었으며, 악성코드 샘플들이 모두 Hummer류의 도메인을 업데이트 서버로 두고 있는 것을 확인했습니다. 치타모바일은 이 악성코드 패밀리를 Hummer라고 명명했습니다.

* 체크 포인트에서는 해당 악성코드 패밀리에 대하여 Hummingbad라고 명명하였습니다. (자세히보기)

Hummer 악성코드 전 세계에 매일 119만개 활성화

치타모바일이 조사한 데이터에 따르면, 2016년 1월부터 6월까지 Hummer 악성코드는 일평균 활성화수가 약 119만개로, 다른 모바일 악성코드들의 감염수를 훨씬 넘어 세계에서 지금까지 가장 많은 디바이스를 감염시킨 악성코드라고 하였습니다.

  

Hummer 악성코드는 전세계적으로 퍼져있으며, 인도, 인도네시아, 터키의 뒤를 이어 중국이 감염 국가 4위를 차지했습니다.

Hummer 악성코드가 가장 많이 감염시킨 국가는 인도로 확인되었습니다. 인도에서 유행중인 10대 모바일 악성코드 중 2,3위가 모두 Hummer 패밀리이며, 6위는 Hummer 악성코드가 추가로 설치하는 악성코드로 확인되었습니다.

 

Hummer 악성코드 2014년에 처음 발견되었으며, 2015년 7월부터 그 수가 증가하기 시작했습니다.  2016년에는 일 평균 활성 수가 119만개를 넘었으며, 가장 많을 때는 140만개에 달했습니다.

 

Hummer 악성코드 변종은 2016년 4월과 5월에 가장 많이 발견되었으며, 이 수치는 중국 내 전체의 악성코드 감염률 증가수치와 비교적 맞아 떨어졌습니다.

 

Hummer 악성코드 패밀리의 발견

다음은 빨간 색으로 표시한 앱에 대해서 논의해 보려고 합니다. 이 악성코드들은 사용자 휴대폰을 루팅시킬 수 있을 뿐만 아니라, 사용자 몰래 다른 악성코드와 광고앱들을 대량으로 설치할 수 있습니다. 

 

겉으로 보기에는 정상앱처럼 보이지만, 해당 앱 설치 후에 휴대폰이 재부팅됩니다. 그 후 사용자 스마트폰 화면은 광고로 가득차게 되며, 사용자 휴대폰에는 대량의 변종, 광고 및 기타 악성코드가 설치됩니다.

 

감염된 사용자는 공장초기화를 해도 해당 악성코드를 삭제할 수 없습니다. 악성코드가 루트 권한을 갖고 있어, system영역을 이미 수정했기 때문입니다. 또한 Hummer의 많은 변종들은 모바일 Rom 내에 심어져 있기도 합니다. 

 

이렇게 Rom에 심어져 있는 악성코드는 일반적으로 공장초기화 또는 recovery시스템의 wipe data에 들어가서 삭제를 시도해도 삭제가 불가능합니다.

Hummer 악성코드의 동작방식

Hummer 악성코드는 자신이 직접 만든 패킹방법을 사용합니다.

 

실제 주체는 stram.png 파일 안에 존재합니다.

 

이 png는 패킹되어 있으며, 언팩하면 elf 포멧의 파일이 로딩된 후 zip파일을 드랍합니다.

 

이 앱의 코드는 실제로 zip파일 안에 숨어있습니다.

 

언패킹 후 파일안에는 두개의 elf 파일과 두개의 apk파일이 들어있는 것을 확인할 수 있습니다.

 

우선 Hummer악성코드가 실행된 후, 루팅 모듈을 드랍하고 모바일 기종에 따라 각기 다른 루팅방법을 사용합니다.

 

만약 해당 파일이 없거나 손상되었다면 인터넷에 연결하여 파일 업데이트를 진행합니다.

 

악성코드는 통신사를 기반으로 어떠한 모듈을 사용할지 결정합니다. Right_core는 500k의 zip파일입니다.

 

Right_core에는 한개의 root sdk가 포함되어 있으며, 루팅 후에는 더 많은 패키지와 guangbom등 url /getSSPDownUrl.do?cid=의경로에서 apk를 내려받습니다.

 

만약 루팅이 성공하면, 이전의 패키지 안에 있던 erwuba이 apk를 복호화 한 후 system 하위에 설치합니다. 루팅이 실패하면 지속적으로 설치 팝업창을 띄워 사용자에게 강제로 설치하도록 유도합니다. 이 apk는 설치되어도 아이콘이 보이지 않으며, 주 apk로 악성앱을 백업하고 악성 app이 삭제되는 것을 막는 기능이 있습니다. 그리고 그 후에는 각종 광고들을 띄웁니다. 

 

가장 최신 버전의 Hummer 변종에는 18개에 달하는 루팅 방법이 포함되어 있으며, 기본적으로 안드로이드 5 및 이전 버전들이 포함되어 있습니다.

 

루팅 후에 Hummer는 다음과 같은 방식으로 광고 서버들과 통신하며, 사용자 몰래 앱을 설치합니다. 프론트에서는 지속적으로 광고를 노출시키고, 백그라운드에서 광고를 클릭하기도 합니다.

 

피해 입는 광고업체

치타모바일은 한대의 모바일 디바이스에 Hummer APP을 테스트로 설치한 후, 수 시간동안 발생하는 패킷을 캡쳐했습니다. 이 악성코드는 수 시간 동안 수만번의 인터넷 연결을 시도하였으며, 데이터를 사용량은 2GB에 달했했습니다. 내려받은 apk 수는 200개가 넘습니다. 이로 인해 영향을 받는 광고업체는 아래와 같습니다.

 

Hummer 악성코드 추적 결과

치타모바일에서 Hummer 악성코드를 추적한 결과, 이 악성코드 패밀리는 아주 오래전에 출현했습니다. 그리고 그 변종은 지금까지도 여전히 활발히 동작하고 있는 것으로 나타났습니다. 치타모바일뿐만 아니라 체크포인트 등 다른 외국 보안업체에서도 관련 분석보고서를 발표했습니다.

치타모바일은 악성코드가 자주 사용하는 도메인을 추적했습니다.

http://d1qxrv0ap6yf2e.cloudfront.net/domain/3.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/4.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/5.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/6.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/7.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/8.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/9.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/11.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/12.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/13.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/14.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/15.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/16.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/17.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/18.json

http://d1qxrv0ap6yf2e.cloudfront.net/domain/19.json

관련 내용은 다음과 같습니다.

 

이 중 root와 관련된 것은 9.json으로, 현재 내용은 다음과 같습니다.

{"id":9,"name":"SSP-DW","master":"cscs100.com","slave":"cscs200.com"}

이 URL들은 코드에 적혀있는 것들뿐만 아니라, 위 URL을 통해서 수집된 것으로 악성코드에 업데이트 파일을 제공하는 URL입니다.

guangbom.com

ssppsspp.com

cscs100.com

cscs200.com

ccaa100.com

ccaa200.com

모두 getSSPDownUrl을 사용하지만, 되돌아오는 apk는 동일하지 않습니다. 이 중 몇가지 cid의 기능을 추측해 보았습니다.

117 124—-Root툴

112 115 118 120 121 126 127—-악성 com.android.systemUl 유포

129 025—-악성 com.android.updater 유포

다음 링크들은 여전히 유효합니다.

 

이 링크들은 기본적으로 모두 다음 두개의 aws 도메인 이름으로 리다이렉트되며, 두 도메인에서 대량의 악성코드가 유포되고 있습니다. 

 

또 다른 업데이트 링크는 다음과 같습니다.

http://fget.aa0ab.com:10010/c/

http://manage.hummerlauncher.com:10010/c/

http://fget.haoyiapi.com:10010/c/

http://fget.aa0ab.com:10010/c/

위에 언급된 도메인 중, 확실하게 악성코드를 내려보내고 업데이트하는 것으로 확인된 도메인은 다음과 같습니다.

guangbom.com

ssppsspp.com

cscs100.com

cscs200.com

ccaa100.com

ccaa200.com

manage.hummerlauncher.com

aa0ab.com

haoyiapi.com

비록 대부분의 도메인들은 whois에서 숨겨져 있지만, 몇몇 도메인들은 이미 후이즈에 업데이트 되었습니다.

 

도메인 whois 정보 중 Hummermobi, Hummeroffers 두 개는 광고 회사 홈페이지로 추정되며, 그 중 하나의 홈페이지에는 회사 주소도 적혀있습니다. 간략히 검색해본 결과, 이 두 도메인은 上海昂真科技有限公司의 소유였으며, 이 회사는 北京微赢互动科技有限公司의 자회사입니다.

 

검색엔진을 통해 이 上海昂真科技有限公司 중경지사의 대표가 “陈阳”라는 것을 확인할 수 있었고, 그는 두 악성 도메인의 실질 소유자인 것으로 보입니다. 그리고 도메인의 후이즈 히스토리 중 언급된 두개의 QQ이메일을 추적했습니다.

 

이메일과 매치되는 사람은 iadpush 직원으로 밝혀졌습니다. 상해시 기업 공개문서를 확인한 결과, iadpush는 微赢互动旗下의 자회사입니다. 더욱 의외인 것은, 이 악성코드를 만든 조직이 비밀번호를 코드관리 홈페이지 SourceForge.net에 올려놓았다는 것입니다. 

치타모바일 연구원은 이 문서에서 그들의 백그라운드 URL이 악성코드의 업데이트 주소인 것을 확인할 수 있었습니다. 비록 이 문서들은 기간이 조금 지난 것이지만, 여전히 참고할만한 가치가 있는 것으로 보입니다.

치타모바일은 McVivi_Vip와 관련된 모 클라우드 저장소를 추적했으며, 그 중 대량의 微赢互动 회사가 제작한 악성코드와 관련된 내부문서를 확인할 수 있었습니다.

 

또한 이들의 업무규칙과 채용에 관련된 내용도 포함되어 있었습니다.

 

 

출처 :

http://www.freebuf.com/news/108561.html