여러 루팅 익스플로잇 사용하는 안드로이드 악성코드 Godless 발견!

여러 루팅 익스플로잇 사용하는 안드로이드 악성코드 Godless 발견!

Godless, the Android Malware that employs multiple rooting exploits

최근 Godless라는 안드로이드 악성코드가 발견되었습니다. 

이 악성코드는 여러 루팅 익스플로잇을 사용하여 안드로이드 모바일 기기를 공격합니다. android-rooting-tools이라고 불리는 오픈소스 루팅 프레임워크를 포함하고 있는 해킹 플랫폼 중 하나입니다. 

Godless에 의해 공격받은 알려진 취약점 가운데에는 CVE-2015-3636과 CVE-2014-3153이 있습니다.

이 악성코드는 안드로이드 5.1(롤리팝) 또는 이전 버전이 동작하는 기기를 공격할 수 있습니다. Godless는 이미 전 세게 85만개 기기를 감염시켰으며, 해커들은 Google Play를 포함한 정상 앱스토어에 악성앱을 통하여 유포시켰습니다. 

이 악성코드는 기기의 권한을 획득하면, 악성 앱을 설치 해 여러 동작을 수행합니다. 해당 앱은 계속 진화하는데 가장 최근의 변종은 C&C서버에서 악성 페이로드를 다운로드 해 원격으로 기기의 루트권한을 획득할 수 있는 것으로 확인되었습니다. 또한 이를 통해 악성코드는 앱스토어의 보안 검사를 우회할 수 있습니다. 

Godlesss의 초기 샘플은 단일 Google Play 사용자의 로그인 계정을 탈취했지만, 최신 변종은 공격자가 기기 전체 권한을 획득할 수 있도록 하는 백도어를 설치합니다. 

악성 버전을 포함한 정상 앱이 Google Play에 존재하는 것을 확인했으며, 심지어 몇몇은 같은 개발자 인증서를 공유합니다. Google Play 내의 버전은 악성코드를 포함하고 있지 않습니다. 그러므로 사용자들이 새로운 악성 행위를 알지 못하고 비 악성 앱을 악성 버전으로 업그레이드 할 잠재적인 위험이 있습니다.

현재 알약에서는 해당 악성앱들에 대하여 Misc.Android.Riskware.Godless로 탐지하고 있습니다.

출처 : 

http://securityaffairs.co/wordpress/48633/breaking-news/godless-android-malware.html