특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있어

[보안뉴스 김태형] 일반적으로 서로 다른 윈도우(Windows) 운영체제와 리눅스(Linux) 운영체제에서 모두 감염되어 동작하는 악성코드를 제작하는 것은 기술적으로 많은 사항들을 고려해야 되는 문제로 쉽지 않은 사항이다. 특히나 모바일(Mobile) 운영체제와 일반 윈도우 PC 모두에 감염되어 동작하는 악성코드를 제작하기라는 것은 더욱 쉽지 않은 사항이다.

2월 3일 안철수연구소 시큐리티센터(ASEC)에서는  하루 동안 전 세계에서 수집되어 분석되었던 안드로이드(Android) 어플리케이션들을 확인하는 과정에서 특이하게 특정 어플리케이션 내부에 윈도우 악성코드가 포함되어 있는 것을 발견했다고 밝혔다.

이번에 발견된 안드로이드 어플리케이션은 아래와 같은 구조를 가지고 있으며 아래 이미지의 붉은색 박스로 표기한 스크립트 파일인 about_habit.htm(123,196 바이트)를 내부에 포함하고 있다.

해당 안드로이드 어플리케이션 내부에 포함된 about_habit.htm는 일반적인 HTML 파일이 아니며 실제로는 비주얼 베이직 스크립트(Visual Basic Script)로 다음과 같은 형태를 가지고 있다.

해당 비주얼 베이직 스크립트 파일은 svchost.exe(61,357 바이트) 파일명으로 윈도우 운영체제에서 감염되는 악성코드를 생성하고 실행하게 되었다.

그러나 해당 비주얼 베이직 스크립트 파일은 안드로이드 운영체제에서는 동작할 수 없는 형태이다. 그리고 해당 파일을 포함하고 있는 안드로이드  어플리케이션의 내부 코드에는 해당  스크립트를 외장 메모리에 쓰도록 제작된 코드는 존재하지 않는다.

안랩 ASEC 측은 “이로 미루어 해당 안드로이드 어플리케이션 제작자의 실수 등으로 인해 해당 비주얼 베이직 스크립트 파일이 어플리케이션 제작시 포함되었을 것으로 추정된다”고 설명했다. 이번 안드로이드 어플리케이션 내부에 포함된 윈도우 악성코드들은 V3 제품군에서는 다음과 같이 진단한다.

VBS/Agent

Win-Trojan/Krap.61357

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>