사진, 크롬 DB를 훔치고 기기를 루팅시키는 안드로이드 악성코드 발견
Android Trojan Roots Devices, Steals Photos and Chrome's Database
최근 카스퍼스키는 Tordow라고 명명된 악성코드를 유포하는 앱들을 발견하였습니다. 이 앱들은 VKontakte, DrugVokrug, Pokemon Go, Telegram, Odnoklassniki, Subway Surf등과 같이 유명한 안드로이드 앱의 복사본으로, 써드파티 앱스토어에서 유포중인 것으로 확인되었습니다.
Tordow 악성코드에 감염되면, 해당 악성코드가 사용자 스마트폰을 루팅시킨 후 민감 정보를 훔쳐 악성코드 제작자 서버에 업로드합니다.
범죄자들은 이 앱의 소스코드를 언팩한 후, 그들의 악성코드를 심어 리패키징합니다. 그리고 이를 써드파티 앱스토어에 업로드하는 방식으로 악성코드를 유포하고 있습니다. 이 앱을 다운받은 사용자들은 이를 실행하여 자신도 모르는 사이 앱 안에 숨겨진 악성코드를 실행시키게 됩니다.
해당 코드는 더 많은 악성코드들을 로드하는 다운로더의 역할을 하며, 해당 코드의 일부분은 악성코드가 기기를 루팅할 수 있도록 하는 익스플로잇이 포함된 패키지를 포함하고 있습니다.
Tordow는 루팅 후 기기 전체를 제어할 권한을 획득하며, 사용자 연락처 탈취 및 전화 걸기, SMS 발송 등의 악성행위를 할 수도 있습니다.
해당 악성코드는 피해자 기기에서 파일을 다운로드 및 실행하고, 앱을 설치 및 제거하며, 특정 웹페이지로의 접근을 차단하고, 파일 이름을 변경할 수 있습니다. 또한 기기의 파일을 온라인 서버로 업로드하고, 스마트폰을 재부팅할 수도 있습니다.
카스퍼스키는 Tordow가 노리는 파일들 중 하나가 안드로이드 stock 브라우저와 안드로이드용 크롬의 데이터베이스라고 밝혔습니다. 이 데이터베이스에는 사용자의 브라우저 히스토리 및 패스워드가 저장되어 있습니다. 또한 사용자들의 사진도 타겟으로 하는 것으로 확인되었습니다.
따라서 사용자 여러분께서는 반드시 구글플레이와 같은 신뢰할 수 있는 앱스토어를 이용하시는 것을 권고 드립니다.
알약 안드로이드에서는 해당 악성앱에 대하여 Trojan.Android.Tordow로 탐지중에 있습니다.
출처 :
https://securelist.com/blog/mobile/76101/the-banker-that-can-steal-anything/
840,000대 이상의 Cisco 장비, NSA 관련 익스플로잇에 취약한 것으로 밝혀져 (0) | 2016.09.23 |
---|---|
meizu 스마트폰, 모바일 랜섬웨어에 감염... 돈을 내야만 풀어준다 (6) | 2016.09.22 |
Periscope Skimming, ATM의 새로운 위협 포인트로 부상 (0) | 2016.09.21 |
안드로이드 7.0 누가(Nougat)의 보안기능 소개 (0) | 2016.09.20 |
하드 드라이브 부트 레코드를 잠그는 HDDCryptor 랜섬웨어 (6) | 2016.09.20 |
댓글 영역