포스팅 내용

국내외 보안동향

자동 루팅 멀웨어에 감염 된 ‘LevelDropper’ 안드로이드 앱

자동 루팅 멀웨어에 감염 된 ‘LevelDropper’ 안드로이드 앱

LevelDropper Android App Infected with Autorooting Malware


보안전문가들이 구글 플레이 스토어에서 사용자 기기를 루팅시키는 기능이 포함된 앱을 발견하였습니다. 


이 앱의 이름은 LevelDropper이며, 이는 공사장이나 잡부들의 공구함에서 찾아볼 수 있는 일반적인 도구의 디지털 버전입니다.


사용자가 이 앱을 설치하면 LocationService를 위한 빈 팝업창을 보게될 것입니다. 이는 안드로이드 OS 서비스가 충돌했다는 표시이며, 이러한 타입의 충돌은 익스플로잇들이 자신들의 존재를 나타내는 방법입니다. 


또한 LevelDropper의 코드에 숨겨진 멀웨어가 은밀히 악성코드를 실행하기 시작하며, 루트 권한을 얻기 위하여 이 충돌을 악용합니다. 이 앱이 사용한 루팅기능은 이미 사용되어오고 있는 루팅 익스플로잇 들을 활용하였습니다. 


일반적으로 이러한 타입의 익스플로잇들은 플레이스토어에서 앱들을 스캔하는 보안시스템인 Google Bouncer에서 탐지되어야만 합니다. 하지만 이 앱은 Google Bouncer를 우회하여 업로드 되었습니다. 


LevelDropper가 설치된 후 30분이 지나자 사용자와 어떠한 상호작용 없이 14개의 앱이 다운로드 및 설치되었습니다. 


보안연구원들이 감염된 폰의 파일시스템을 분석해 보았지만, 루팅 익스플로잇이 남긴 흔적을 찾는 것이 매우 힘들었습니다. 이는 범죄자들이 특별한 조치를 취했다는 의미입니다. 


또한 해당 악성앱에서 루팅 익스플로잇 이외에 또 다른 권한상승 취약점 2개와 SuperSU, busybox, supolicy와 같은 지원 패키지 파일들을 발견했다고 말했습니다. 


만약 LevelDropper에 감염된 상태라면, 공장초기화를 통해야만 해당 악성앱을 삭제할 수 있습니다. 


현재 알약안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.LevelDropper로 탐지하고 있습니다. 



출처 : 

https://blog.lookout.com/blog/2016/06/27/leveldropper/

티스토리 방명록 작성
name password homepage