어김없이 등장한 모바일 채굴 악성코드

malwares.com 코드분석팀 분석 자료

<부제 : PC 접수하고 Mobile 상륙! >

1. 개요

2018년 4월 즈음 가상화폐 시장이 얼어붙으며 관련 악성코드도 함께 주춤했었다. 최근 채굴 악성코드가 다시 모습을 드러내고 양상이다. 

지금까지 채굴 악성코드는 PC를 주타겟으로 활동해왔다. 갈수록 성능이 좋아지고 24시간 동작하는 특징을 가지고 있는 스마트폰이 채굴 악성코드의 새로운 온상지가 되고 있다. 일반 사용자의 스마트폰을 노리고 있는 해커의 움직임에 주의해야 할 것이다.

본 블로그에서는 새로운 타겟이 되고 있는 스마트폰 위협하는 채굴 악성코드를 분석해본다.

관련 기사 보러가기 : [보안뉴스]  안드로이드 생태계 노리는 악성 채굴 멀웨어

2. 분석 정보

[ Figure 0. 안드로이드 어플리케이션 압축해제 ]

안드로이드 어플리케이션은 압축 파일의 구조를 하고 있어서 압축을 해제하면 위와 같은 파일들을 볼 수 있다. 어플리케이션마다 차이는 있지만 'AndroidManifest.xml' 파일과 'classes.dex' 파일은 어느 어플리케이션에서나 찾아볼 수 있다. 각각의 파일은 개발자가 작성한 권한, 액티비티, 코드가 담기게 된다.

[ Figure 1. 어플리케이션 추가 로드 ]

'classes.dex' 파일이 로딩되면 어플리케이션 내부(/Assets)에 있는 '5ab4993532409.apk'를 추가 로드한다. 하지만 파일이 암호화돼있어 복호화 과정을 거쳐야 하는데 소스코드 내부에서 암호화 방식과 키를 모두 수집할 수 있다.

[ Figure 2. 복호화 스크립트(python) ]

• 암호화 알고리즘 : AES

• 암호화 타입 : CBC

• 암호화 키 : RxdDrQ1MEI8tKBe6Ah8Kbk5oDpFXOS2XOt12JU7nUaU= (base64 앞 16자리)

• 암호화 IV : RxdDrQ1MEI8tKBe6Ah8Kbk5oDpFXOS2XOt12JU7nUaU= (base64 뒤 16자리) 

사진에 담지 못했으나 암호화에 사용된 키는 [Figure 1]과 같은 파일에서 바로 찾아볼 수 있다. 

[ Figure 3. 복호화 전후 비교(HEX) ]

복호화한 파일은 'classes.dex' 파일을 포함한 압축파일이며 이를 통해 APK 파일이란 것을 알 수 있다. 그런데 'AndroidManifest.xml' 파일은 포함돼있지 않다. 구조적으로 이미 이전에 어플리케이션이 실행됐고 추가로 메모리에 로드되는 어플리케이션이라 같은 권한을 상속 받는다. 

        

[ Figure 4. 추가 DEX 파일 ]

새로 메모리에 적재되는 'classes.dex' 파일은 libcurl.so, libgmp.so, libcpuminer.so 파일을 로드시키고 'startMiner' 네이티브 함수를 호출한다. 인자로 전달되는 내용은 해커의 정보가 담겨져 있어야 하지만 현재는 외부 서버와의 연결되지 않아 확인할 수 없는 상태다.

[ Figure 5. libcpuminer.so 분석 (IDA) ]

Github : https://github.com/JayDDee/cpuminer-opt

가상화폐 채굴의 핵심 파일인 'libcpuminer.so'에서는 User-Agent 값이나 여타 문자열을 통해 Github(오픈소스 커뮤니티)에서 찾을 수 있다. 개발자는 좋은 의도로 오픈소스로 공개했을지라도 악의적인 해커가 자신의 이익을 위해 이용하는 사례가 많은데 채굴에서 특히 많이 보인다.

채굴 악성코드에 감염될 경우 기기의 성능 저하 및 배터리의 빠른 방전의 형태로 사용자에게 피해를 끼친다.  안드로이드 백신을 수시로 돌릴 것을 권장한다. 

3. IoC 정보

해쉬	41B4F79710BC086C7265402BD0B5CCC050386E05C2541973F6EBB527A58B5C08
파일크기	3,396,313 Bytes
유입파일명	X
태그	contains-elf, apk, android, trojan, sisnit, riskware, agent
주요동작	추가 파일 드랍, 가상화폐 채굴
초기감염방법	다운로드
재실행방법	X
네트워크연결	X