[보안뉴스 권 준] 글로벌 보안업체 트렌드마이크로(Trend Micro)가 ‘Adding Android and Mac OS X Malware to the APT Toolbox’라는 제목의 문서를 공개했다고 안랩 ASEC 측은 밝혔다.

해당 문서는 2012년 3월 해당 업체에서 공개한 ‘Luckycat Redux: Inside an APT Campaign’ 즉 럭키캣(Luckycat)이라고 명명된 APT 공격 형태를 조사하는 과정에서 발견된 안드로이드 악성코드에 대해 다루고 있다.

트렌드마이크로에서는 럭키캣 APT 공격과 관련된 특정 C&C 서버를 조사하는 과정에서 해당 C&C 서버에서 AQS.apk(15,675바이트)와 testService.apk(17,810 바이트) 2개의 안드로이드 스마트폰에 설치 가능한 APK 파일 2개를 발견하게 됐다고 밝힌 바 있다.

이에 안랩 ASEC에서는 AQS.apk(15,675 바이트)와 testService.apk(17,810 바이트) 2개의 해당 파일들을 확보해 자세한 분석을 진행했다고 설명했다.

2개의 APK 파일들은 모두 동일한 기능을 하도록 제작됐으며, 그 중 testService.apk (17,810 바이트)을 안드로이드 스마트폰에 설치하게 되면 오른쪽 이미지와 동일한 아이콘을 생성하는 것으로 확인됐다.

그리고 해당 앱을 사용자가 직접 실행시키거나 스마트폰이 사용자에 의해 부팅하게 될 경우 이를 자동으로 감지하여 TService라는 서비스로 실행하게 된다는 것. 해당 서비스는 감염된 안드로이드 스마트폰에서 IMEI(International Mobile Equipment Identity), 스마트폰 번호와 저장장치의 파일정보들을 수집하여 중국에 위치한 gr******ns.3322.org:54321 해당 C&C 서버와 통신을 시도하게 된다는 게 안랩 ASEC 측의 설명이다.

해당 C&C 서버와 통신이 성공하게 되면 공격자가 지정한 다양한 악의적인 명령들을 수행할 수 있게 되는데, 일례로 공격자는 파일 업로드 및 다운로드, 인터넷 연결 접속, 그리고 원격 명령을 수행하는 리모트 쉘(Remote Shell) 명령을 C&C 서버를 통해 내릴 수 있는 것으로 알려졌다.

이번 럭키캣 APT 공격과 관련된 특정 C&C 서버에서 발견된 안드로이드 악성코드들의 V3 모바일 제품군에서의 진단명은 다음과 같다.

Android-Trojan/Infostealer.G

Android-Trojan/Infostealer.H

이와 관련 안랩 ASEC 측은 “해당 2개의 안드로이드 악성코드가 실제 럭키캣 APT 공격에 사용되었는지는 명확하지 않다”면서도 “그러나 APT 공격과 관련된 C&C 서버에서 발견되었다는 사실로 미루어 볼 때, APT 공격을 수행한 공격자들은 안드로이드 악성코드 제작과 유포를 통해 특정조직의 중요 정보 탈취에 악용하려 했던 것으로 추정된다”고 설명했다.

[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>