상세 컨텐츠

본문 제목

루팅 기능이 포함된 새로운 안드로이드 악성코드인 AbstractEmu 발견

국내외 보안동향

by 알약4 2021. 10. 29. 14:00

본문

AbstractEmu, a new Android malware with rooting capabilities

 

Lookout Threat Labs의 보안 연구원이 구글 플레이 및 유명 타사 스토어(Amazon Appstore, Samsung Galaxy Store )에 배포되는 루팅 기능이 포함된 AbstractEmu라는 새로운 안드로이드 악성코드를 발견했습니다.

 

이 악성코드는 분석을 피하기 위해 코드 추상화 및 안티 에뮬레이션 검사 기능을 사용했습니다.

 

연구원들은 보고서에서 아래와 같이 밝혔습니다.

 

"이는 분석 중에 실행되는 것을 피하기 위해 코드 추상화 및 안티 에뮬레이션 검사를 사용하기 때문에 해당 악성코드를 "AbstractEmu"라 명명했습니다. 관련 앱 총 19개가 발견되었으며, 그 중 7개에는 루팅 기능이 포함되어 있으며 하나는 구글 플레이에서 1만회 이상 다운로드되었습니다.”

 

전문가들은 구글 플레이와 타사 앱 스토어를 통해 유포된 악성코드가 포함된 유틸리티 앱 19개를 발견했습니다. 이러한 앱 중 일부는 다운로드 수가 수천 회에 달했습니다.

 

Lookout은 조사 결과를 구글에 제보했으며, 구글은 감염된 앱을 신속히 제거했습니다.

 

전문가들은 루팅 악성코드는 매우 드물며, 공격자가 기기에 대한 루트 접근 권한을 얻고 사용자 상호 작용 없이 악의적인 활동을 수행할 수 있다고 지적했습니다.

 

전문가들은 AbstractEmu가 재정적 동기를 가진 리소스가 풍부한 그룹이 개발한 것으로 추정했습니다. 이들이 사용하는 코드 기반과 회피 기술은 매우 정교했습니다.

 

"AbstractEmu는 제로 클릭 원격 익스플로잇을 악용하지 않고, 더 많은 기기를 노리기 위해 2019년과 2020년 발견된 비교적 최신 취약점 (CVE-2020-0041, CVE-2020-0069, CVE-2019-2215 and CVE-2020-0041) 을 악용합니다.”

 

 

<이미지 출처 : https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign>

 

 

AbstractEmu 악성코드가 설치되면, 이는 추가 명령을 기다리는 동안 시스템 정보를 수집하고 C2로 보내기 시작합니다.

 

또한 전문가들은 이 악성코드가 루트 액세스를 통해 부여된 광범위한 권한을 통해 뱅킹 트로이 목마가 SMS로 전송된 2단계 인증 코드를 수신하거나, 백그라운드에서 실행하고, 피싱 공격을 시작하는 데 사용하는 공통 권한을 공격자에게 부여한다는 사실을 알아냈습니다.

 

이 악성코드가 획득한 일부 권한은 화면 내용 캡처, 접근성 서비스 접근 등 기기와의 원격 상호 작용을 허용하여 공격자가 기기의 다른 앱과 상호 작용할 수 있도록 합니다. 연구원들은 이 악성코드와 Anatsa Vultur 악성코드 제품군과의 유사성을 발견했습니다.

 

 

 

 

출처:

https://securityaffairs.co/wordpress/123873/malware/abstractemu-android-malware.html

https://blog.lookout.com/lookout-discovers-global-rooting-malware-campaign (IOC)

관련글 더보기

댓글 영역