최근 파이어아이 연구소(FireEye Research)에 의해 정상 서비스인 것처럼 가장해 백신 프로세스를 중지시키고 백그라운드로 실행되면서 다양한 악성행위(RAT 포함)를 하는 새로운 안드로이드 악성코드가 발견됐다. 이 악성코드는 RAT-C&C의 명령울 받아 악성 행위를 수행한다.

과거 대부분의 안드로이드 멀웨어는 한가지 악성행위(개인정보유출, 은행인증서유출 등)만 수행했지만 이제는 모든 기능이 포함된 하나의 프레임워크로 제작되고 있고 앞으로 보다 완성된 형태가 될 것으로 예상된다.

특히 이러한 프레임워크가 완성되면 ‘Bank Hijacking’과 같은 공격에 활용될 것이며 현재 한국의 주요 은행 8개의 애플리케이션을 이용하는 모바일 사용자들이 위와 같은 유형의 공격 타깃으로 확인됐다.

이 악성코드는 ▶악성앱 설치 ▶구글 서비스 아이콘 생성 및 GS 프로세스s 시작(삭제기능 없음) ▶C&C 서버 접속 및 명령 수행 ▶주요악성행위-팝 윈도(Pop Window : 정상 은행 앱 삭제후 악성 은행 앱 설치 유도- 업데이트 : 추가 악성파일 다운로드-SMS 업로드-Banking Hijack) 순으로 공격을 진행한다.

안드로이드 환경에서는 백그라운드에서 구동되며 원격접속도구(RAT)로 조종되는 서비스를 가장한 의심스러운 안드로이드 앱이 많이 발견되고 있다. 파이어아이 모바일 보안 연구원들은 구글 서비스 프레임워크‘를 가장한 멀웨어 앱이 안티 바이러스 애플리케이션의 구동을 멈추고 해킹을 시도하는 사례를 발견했다.

과거에 발견된 안드로이드 멀웨어는 개인정보 유출이나 금융 정보 탈취, 원격 접속 등 한가지 목적으로 수행했으나 이번에 발견된 애플리케이션은 이러한 활동을 모두 한번에 수행하는 진화된 형태로 나타났다.

파이어아이는 가까운 시일 내에 이러한 프레임워크가 완성되면 새로운 은행 애플리케이션을 단 30분만에 해킹할 수 있는 정도의 대규모 금융정보 탈취로 이어질 수 있다고 경고했다. 또한 IP 주소만으로는 해커의 정체를 알아낼 순 없었지만 개발자들과 희생자가 한국 시장을 타깃으로 하고 있다는 것을 발견했다.

‘com.ll’이라는 패키지 이름의 새로운 RAT 멀웨어는 구글 서비스 프레임워크(Google Service Framework)라는 안드로이드 기본 앱 아이콘으로 나타나며 안드로이드 사용자는 관리자 모드 환경설정에서 비활성화시키지 않는한 삭제할 수도 없다. 지금까지 샘플에 대한 바이러스 토탈 스코어는 54개의 AV 벤더사에서 나온 바이러스 탐지 앱중 5개만이 탐지해 냈다. 이 새로운 멀웨어는 해커가 사용하는 C&C 서버에 의해 빠르게 변화하고 있다.

의심스러운 애플리케이션이 설치된 직후 ‘구글 서비스’ 아이콘이 홈스크린에 나타난다. 아이콘을 클릭하면 애플리케이션은 관리자 권한을 요구한다. 한번 활성화되면 삭제 옵션은 사용할 수 없으며 새로운 ‘GS’라는 서비스가 아래 그림과 같이 시작된다. 아이콘을 한번더 클릭하면 ‘앱이 설치되지 않았습니다’라는 메시지가 나오며 홈스크린에서 아예 사라지게 된다.

이 멀웨어는 아래와 같이 RAT의 명령을 실행하며 의심스러운 활동을 시작한다.

몇분 이내로 이 앱은 C%C 서버와 접속해 악성활동을 시작한다.