상세 컨텐츠

본문 제목

윈도우 악성코드 만큼 복잡한 안드로이드 악성코드 Triada!

국내외 보안동향

by 알약(Alyac) 2016. 3. 4. 16:00

본문

윈도우 악성코드 만큼 복잡한 안드로이드 악성코드 Triada!

Android Triada trojan 'as complex as any Windows malware'


최근 카스퍼스키 연구원들이 전체 안드로이드 기기의 60% 이상에 영향을 미치는 모바일 악성코드를 발견하였습니다.


Triada는 안드로이드 4.4.4 및 그 이전 버전을 사용하는 기기에서 동작하며, 인-앱 결제 및 권한상승으로 이어질 수 있는 악성코드로, 전문적인 사이버 범죄자들이 제작한 것으로 추정됩니다. 


이 악성코드는 주로 정식 마켓에서 다운로드 하지 않아 감염되지만, 공식 안드로이드 스토어에 정식 앱으로 위장하여 업로드 될 가능성도 완전히 배제할 수는 없습니다. 


이 악성코드의 특징은 모든 앱 프로세스의 부모 프로세스 격인 Zygote를 사용한다는 점입니다. 이는 기기에 설치된 모든 앱들이 사용하는 시스템 라이브러리 및 프레임워크를 포함하며, 즉 이 악성코드는 안드로이드 앱을 실행하려는 목적을 가진 것으로 볼 수 있습니다. 

    

이런 기술이 적용된 악성코드가 발견된 것은 처음으로, 이 악성코드가 발견되지 전까지의 악성코드들은 Zygote를 사용하는 PoC에 불과하였습니다. 또한 탐지를 피하기 위한 기술도 매우 발전한 것으로 나타났습니다. 


Triada는 사용자 디바이스를 감염시킨 후 , 거의 모든 동작 프로세스에 침입하여 단기 메모리에 상주합니다. 그렇기 때문에 모바일 백신을 통한 탐지 및 삭제를 거의 불가능하게 만듭니다. 


연구원들은 Triada의 복잡도로 짐작해 볼 때, 모바일 플랫폼에 대한 매우 깊은 이해를 하고있는 전문가가 악성코드를 제작했을 것으로 추정하고 있습니다. 


Triada는 실행중인 거의 모든 프로세스에 침입하여 메모리에만 상주하는데다, 개별적으로 실행되는 악성 프로세스는 모두 사용자와 다른 앱으로부터 숨겨저 있는 상태이기 때문에, 모바일 백신이 이 악성코드를 탐지하고 삭제하는 것은 매우 어렵다고 밝혔습니다. 


현재 알약에서는 해당 악성코드에 대하여 Trojan.Android.Triada로 탐지하고 있습니다.


참고 : 

http://www.v3.co.uk/v3-uk/news/2449657/android-triada-trojan-as-complex-as-any-windows-malware

https://securelist.com/analysis/publications/74032/attack-on-zygote-a-new-twist-in-the-evolution-of-mobile-threats/



관련글 더보기

댓글 영역