연구원들, mRAT과 관련 있는 새로운 정교한 악성코드인 xRAT 발견

Experts discover a new sophisticated malware dubbed xRAT tied to mRAT threat

보안 연구원들이 홍콩의 시위자들을 대상으로 한 2014년의 “Xsser / mRAT” 감시 캠페인과 관련 있는 새로운 모바일 원격 접속 트로이목마인 xRAT을 발견했습니다.

xRAT은 mRAT과 유사한 점이 많습니다. 구조가 동일하고, 동일한 복호화 키를 사용합니다. 연구원들은 코드 분석을 통해 두 개의 악성코드 모두 동일한 네이밍 규칙을 사용한다는 점을 발견했습니다. 이를 통해 두 악성 코드를 같은 공격자가 개발했다는 것을 알 수 있습니다.

연구원들은 xRAT이 사용한 C&C 서버는 윈도우 악성코드와 동일하며, 공격자들은 매우 경험이 풍부한 전문가들인 것으로 추측했습니다.

xRAT 모바일 트로이목마는 정치적 그룹을 타겟으로 특별히 개발 된 것으로 보입니다. 이는 탐지 회피 기술을 탑재했으며, WeChat이나 QQ 등과 같은 메시징 어플리케이션으로부터 데이터를 훔치는 등 일반적인 스파잉 기능들을 구현했습니다.

xRAT 모바일 악성코드가 구현한 기능의 목록은 아래와 같습니다:

브라우저 히스토리

기기의 메타데이터 (모델, 제조사, SIM 번호, 디바이스 ID 등)

텍스트 메시지

연락처

통화 기록

QQ와 WeChat의 데이터

연결한 Wi-Fi 접속 포인트 및 비밀번호

이메일 데이터베이스 및 이메일 계정의 계정/비밀번호

기기 위치 정보

사용자/시스템 어플리케이션 모두를 식별하는 설치 된 앱 목록

SIM 카드 정보

원격의 공격자에게 Shell 제공

공격자가 지정한 파일 다운로드 후 특정 위치에 저장

공격자가 지정한 파일을 삭제하거나, 특정 디렉토리를 반복적으로 삭제

비행기모드 활성화

외부 저장소의 모든 파일들 및 디렉토리 목록

공격자가 지정한 디렉토리의 컨텐츠 목록

최소, 최대 크기 사이의 공격자가 지정한 타입의 파일들 받아오기

특정 MD5 해시의 파일을 외부 저장소 탐색 후 발견 시 받아오기

C&C 인프라로 공격자가 지정한 파일들 업로드

공격자가 지정한 번호로 전화하기

오디오를 녹음해 이미 설정 된 C&C 네트워크 소켓에 직접 쓰기

루트 사용자로 공격자가 지정한 명령 실행

Hiapk.com으로부터 QQ의 22MB 트로이목마 버전을 다운로드해 /sdcard/.wx/wx.apk에 저장합니다. ‘rapid flow mode’라고도 합니다.

탐지를 피하기 위해 xRAT은 감염 된 기기에서 설치된 프로그램을 삭제할 수 있는 "자살” 기능을 구현했습니다. 아래의 안티 바이러스 어플리케이션이 설치 된 경우 운영자들에게 경고를 보냅니다:

管家 (housekeeper)

安全 (safety)

权限 (Authority)

卫士 (Guardian)

清理 (Cleanup)

杀毒 (Antivirus)

Defender

Securit

과거에 xRAT이 사용한 C&C 인프라의 대부분은 중국에 위치했지만, 최근 분석한 샘플의 C&C는 미국에 위치하고 있는 것으로 확인되었습니다.

현재 알약에서는 해당 악성앱들에 대해 Trojan.Android.HiddenApp로 탐지중에 있습니다. 

출처 :

http://securityaffairs.co/wordpress/62737/malware/xrat-malware.html

https://blog.lookout.com/xrat-mobile-threat