대한민국을 노린 모바일 악성코드, 로밍 맨티스 캠페인!


malwares.com 코드분석팀 분석 자료


<부제 : 로밍 맨티스 캠페인, 오래전부터 시작됬다. >


1. 개요


2018년 4월, 카스퍼스키랩에서 로밍 ?맨티스(Roaming Mantis)라고 명명한 이 공격은 아시아(일본, 한국, 방글라데시)의 사용자들을 대상으로 스마트폰을 감염시킨다는 게시글을 게시했습니다. 

해당 악성코드에 감염되기 이전의 사용자들은 네이버, 페이스북, 다음과 같은 사이트에 접근할 때 공격자가 의도한 페이지로 ?리다이렉트(redirect)되어 페이스북이나 크롬으로 위장한 악성코드가 설치됩니다. 
공유기 설정 페이지에서 DNS 변조를 통해 악성코드가 유포된 것은유포된것은 매우 오래된 공격으로 아직 많이 이용되고 있을 뿐이므로 공유기 설정에 대한 기본 암호를 변경하는 것이 중요합니다. 

그 이후, 카스퍼스키랩은 새로 나타나고 있는 로밍 ?맨티스 그룹의 활동이 지리적으로 확장되고 더 많은 기능이 추가되었다고 밝혔습니다. 분석 정보를 참고하시면 더 많은 정보를 확인할 수 있습니다.


2. 분석 정보

< Figure 0. DNS 변조로 인한 페이지 >


공격자에 의해 도메인 네임서버(DNS)가 변조된 와이파이를 이용해 웹사이트에 접근하면 위와 같은 메시지를 출력하며 "확인"을 누르면 페이스북이나 크롬으로 위장한 악성코드가 수동적으로 설치가 된다. 

< Figure 1. 악성 행위가 숨겨져 있는 data.sql 파일 >


안드로이드 어플리케이션을 분석할 수 있는 도구를 이용해 "data.sql" 파일을 압축을 풀고, 디코딩을 하는것을 확인했다.  악성 행위는 위 파일에서 이루어지고 있을것이므로 같은 방법으로 원본 파일을 얻어냈다.


로밍 맨티스의 캠페인 초기에는 "data.sql" 파일명도 달랐으며 압축이 아닌 인코딩만 되어 있었다고 한다.


 

< Figure 2. 27개국 언어를 지원하는 악성코드 >



 "고객님의 Google 아이디 위험있습니다. 본인인증후 사용하세요."

"새로운버전이 출시되었습니다. 재설치 후 이용하시기 바랍니다."
,
"에 이 권한을 기부하실겁니까?"
"오픈후권한"
" + b + "
"에서 더 빠르게 페이지 방문할 수 있고 핸드폰 속도도 늘릴 겁니다"
"확인"
"취소"
"[성명].[성년월일]틀립니다.확인하고 다시 입력하세요."
"안전인증"
"이름"
"생년월일"
"구글 계정이 이상이 있습니다.음성검증을 들어 인증번호를 입력하여 구글 계정을 검증하도록합니다. 아니면 정상사용에 영향을 끼칠 것입니다."
"인증번호"
"인증번호를 입력하세요"


아라비아어, 체코, 독일, 영어, 스페인, 힌디, 인도네시아, 이탈리아, 일본, 한국, 포르투갈, 러시아, 태국, 터키우크라이나, 베트남, 중국어등 27개국의 언어를 지원하고 있지만, 한국어에 해당하는 부분을 보면, 자연스럽지 못하고 단순히 온라인 번역 서비스를 이용한것같다.


< Figure 3. 악성코드가 지원하는 커맨드 명령어 >


 

< Figure 4. 공격자의 outlook 계정 >


커맨드에 따라서 처리한 내용은 공격자에게 전송되는데 C2 서버의 주소는 사진에 보이는 이메일 주소에서 받은 편지함에 존재하는 메일의 제목에서 가져와 사용한다.   


HTTP같은 프로토콜을 이용해 웹에서 가져오는 악성코드는 많이 보이지만 메일 프로토콜을 이용하는 악성코드는 흔치 않다. 


이 외에도 다른 메일주소를 이용해 PING정보를 보내는것에 이용되는 메일 주소도 포함되어 있다.



< Figure 5. 공격대상 어플리케이션 >


넥슨 플레이, 오티피, 해피머니, 던전앤파이터, 리니지, 뮤 오리진, 은행앱등 많은 앱들을 타겟으로 한다. 

은행앱에서는 공인인증서, 게임앱에서는 아이디를 탈취하는데 모두 국내에서 서비스되는 어플리케이션으로 대한민국을 타겟으로한 캠페인으로 추정된다. 



<Figure 7. malwares.com 진단 결과 >


malwares.com에서는 국민, 우리등 은행에 대해 공인인증 정보를 탈취하려고 시도하였기 때문에 태그 결과로 banker로 진단하고 있다


분석 내용에 따라 국내 사용자들을 대상으로 한 지속해서 공격을 시도하는 악성코드로 볼 수 있고, 아직도 변종이 나오고 있으므로 사용자의 알 수 없는 출처의 어플리케이션을 설치하지 않는 것이 중요하다



3. IoC 정보


 해쉬

 4E26D9E0AB05647C36392C3122E6B5615C96D069D4C708AD8BC02786B98CF1EA

 파일크기

 396,943 Bytes

 유입파일명

  X

 태그

 androidos, banker

 주요동작

 백도어

 초기감염방법

 라우터 하이재킹

 재실행방법

 X

 네트워크연결

 O



이 글을 공유하기

댓글(0)