기기를 루팅시키고, 모든 것을 지워버릴 수 있는 안드로이드 멀웨어 등장

기기를 루팅시키고, 모든 것을 지워버릴 수 있는 안드로이드 멀웨어 등장

This Android Malware Can Root Your Device And Erase Everything

스마트폰의 루트 권한을 얻어 폰 저장공간을 완전히 지워버릴 수 있는 안드로이드 멀웨어가 발견되었습니다. 

Mazar BOT 이라 명명 된 이 멀웨어는 수 많은 숨겨진 기능들을 가지고 있으며, 스마트폰을 해커 봇넷의 좀비로 만들 수도 있다고 경고하였습니다. 

Mazar은 악성 APK의 다운로드 링크가 포함된 스팸문자를 통하여 유포됩니다. 사용자가 이 링크를 클릭하면 안드로이드 기기에 APK가 다운로드 되며, 실행되면 새로운 어플리케이션을 설치하라는 창을 띄웁니다. 이때 새로운 어플리케이션의 이름은 MMS Messaging 이며 관리자 권한을 요구하는데, 이 앱의 이름은 매우 흔하게 사용되기 때문에, 대부분의 사용자들은 이 악성앱에 루트 권한을 허용하게 됩니다. 

Mazar BOT이 일단 루트 권한을 얻게되면 다음과 같은 악성 행위가 가능하게 됩니다. 

기기가 재 시작 되더라도 멀웨어가 실행될 수 있도록 함

SMS 메시지 송/수신

연락처 열람 및 전화 걸기

기기 상태 확인

폰의 제어 키들 감염시키기

크롬 브라우저 감염

폰 설정 변경

폰의 상태를 슬립 모드로 강제 변경

네트워크 상태 쿼리

인터넷에 접속

기기의 저장장치의 내용 모두 삭제

또한 Mazar BOT은 정식 TOR안드로이드 앱을 내려받아 익명으로 인터넷 서핑을 합니다. 멀웨어가 사용자 기기에 TOR앱을 설치하면, 이란의 폰번호(9876543210)로 “Thank you” 메시지와 함께 기기 GPS정보를 전송합니다. 어떤 경우 MazarBOT은 Polipo Proxy 앱을 설치하여 기기에서 프록시 연결을 설정하여 멀웨어 제작자가 사용자의 웹 트래픽을 스파잉 하고 MITM 공격을 실행할 수도 있도록 합니다. 

Mazar BOT은 러시아의 사이버 범죄자들이 배포한것으로 추정됩니다. 

그 이유는 

첫번째, Mazar BOT은 러시아 내 안드로이드 스마트폰에는 설치할 수 없도록 설계되어 있습니다. 소스코드 내에 러시아어로 멀웨어 설치 과정을 멈추는 방법이 포함되어 있기 때문입니다. 

두번째, 러시아에는 '사이버 범죄자들이 러시아인들을 쫓지 않는다면, 러시아 정부도 그들을 쫒지 않을 것이다'라는 불문율이 있으며, 아직까지 Mazar BOT 캠페인이 러시아에 영향을 미쳤다는 사례는 보고되지 않았기 때문입니다. 

현재까지 Mazar BOT은 러시아 언더그라운드 포럼들에서 판매되고 있으나, 이 코드가 실제 공격에 악용된 사례는 이번이 처음입니다. 

Mazar BOT 멀웨어에서 안전하려면 다음과 같은 스마트폰 사용습관을 길러야 합니다. 

1. SMS나 MMS로 받은 링크 클릭 금지

2. 출처 불문명한 앱 옵션 체크 해제

3. 모바일 백신 설치

4. 공개용 Wi-Fi 핫스팟 사용 지양

알약 안드로이드에서는 현재 해당 멀웨어에 대하여 Trojan.Android.Bot.Mazar로 탐지하고 있습니다. 

출처 : 

http://thehackernews.com/2016/02/hack-android-malware.html

https://heimdalsecurity.com/blog/security-alert-mazar-bot-active-attacks-android-malware/