대한민국을 노린 모바일 악성코드, 로밍 맨티스 캠페인!
- 보안 정보/악성코드 분석보고서
- 2018. 8. 22. 14:34
malwares.com 코드분석팀 분석 자료
<부제 : 로밍 맨티스 캠페인, 오래전부터 시작됬다. >
1. 개요
관련 기사 보러가기 : [보안뉴스] ‘로밍 맨티스’, 아시아→유럽·중동 사이버공격 확대
< Figure 0. DNS 변조로 인한 페이지 >
< Figure 1. 악성 행위가 숨겨져 있는 data.sql 파일 >
안드로이드 어플리케이션을 분석할 수 있는 도구를 이용해 "data.sql" 파일을 압축을 풀고, 디코딩을 하는것을 확인했다. 악성 행위는 위 파일에서 이루어지고 있을것이므로 같은 방법으로 원본 파일을 얻어냈다.
로밍 맨티스의 캠페인 초기에는 "data.sql" 파일명도 달랐으며 압축이 아닌 인코딩만 되어 있었다고 한다.
< Figure 2. 27개국 언어를 지원하는 악성코드 >
"고객님의 Google 아이디 위험있습니다. 본인인증후 사용하세요." "새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다." , "에 이 권한을 기부하실겁니까?" "오픈후권한" " + b + " "에서 더 빠르게 페이지 방문할 수 있고 핸드폰 속도도 늘릴 겁니다" "확인" "취소" "[성명].[성년월일]틀립니다.확인하고 다시 입력하세요." "안전인증" "이름" "생년월일" "구글 계정이 이상이 있습니다.음성검증을 들어 인증번호를 입력하여 구글 계정을 검증하도록합니다. 아니면 정상사용에 영향을 끼칠 것입니다." "인증번호" "인증번호를 입력하세요" |
< Figure 3. 악성코드가 지원하는 커맨드 명령어 >
< Figure 4. 공격자의 outlook 계정 >
커맨드에 따라서 처리한 내용은 공격자에게 전송되는데 C2 서버의 주소는 사진에 보이는 이메일 주소에서 받은 편지함에 존재하는 메일의 제목에서 가져와 사용한다.
HTTP같은 프로토콜을 이용해 웹에서 가져오는 악성코드는 많이 보이지만 메일 프로토콜을 이용하는 악성코드는 흔치 않다.
이 외에도 다른 메일주소를 이용해 PING정보를 보내는것에 이용되는 메일 주소도 포함되어 있다.
< Figure 5. 공격대상 어플리케이션 >
넥슨 플레이, 오티피, 해피머니, 던전앤파이터, 리니지, 뮤 오리진, 은행앱등 많은 앱들을 타겟으로 한다.
은행앱에서는 공인인증서, 게임앱에서는 아이디를 탈취하는데 모두 국내에서 서비스되는 어플리케이션으로 대한민국을 타겟으로한 캠페인으로 추정된다.
<Figure 7. malwares.com 진단 결과 >
malwares.com에서는 국민, 우리등 은행에 대해 공인인증 정보를 탈취하려고 시도하였기 때문에 태그 결과로 banker로 진단하고 있다.
분석 내용에 따라 국내 사용자들을 대상으로 한 지속해서 공격을 시도하는 악성코드로 볼 수 있고, 아직도 변종이 나오고 있으므로 사용자의 알 수 없는 출처의 어플리케이션을 설치하지 않는 것이 중요하다
3. IoC 정보
해쉬 | 4E26D9E0AB05647C36392C3122E6B5615C96D069D4C708AD8BC02786B98CF1EA |
파일크기 | 396,943 Bytes |
유입파일명 | X |
태그 | androidos, banker |
주요동작 | 백도어 |
초기감염방법 | 라우터 하이재킹 |
재실행방법 | X |
네트워크연결 | O |
'보안 정보 > 악성코드 분석보고서' 카테고리의 다른 글
| 문서 파일내 DDE 기능을 활용한 악성코드 (0) | 2017.11.13 |
|---|---|
| 많은 서버에서 유포되는 백도어 NetSyst96.dll (0) | 2017.11.02 |
| 봇넷 관련 악성코드 (systemsv08.exe) (0) | 2016.09.22 |
| 랜섬웨어 복구 프로그램 종류와 원리 (1) | 2016.05.02 |
| [상세보고서] 우크라이나 정전사태 관련 악성코드 (update. 2016.03.25) (4) | 2016.02.16 |
