본문 바로가기
악성코드 정보

Android HackTool

by DH, L@@ 2013. 10. 30.

 

최근 기사를 보면 스마트폰 악성코드가 폭증했다는 기사들을 종종 볼 수 있다. 이 현상들은 그만큼 스마트폰 악성코드가 급증하고 있다는 것을 방증하며, 기사 내용들을 살펴보면 국내에서 가장 많이 발견되는 악성코드의 형태는 문자나 모바일 메신저를 통해 유포되는 '스미싱' 이라는 것 또한 알 수 있다. 스미싱은 SMS + Phishing 의 합성어로 현재 국내에서 그 피해가 가장 크다고 볼 수 있다. 다만 이러한 스미싱 악성코드는 모바일의 특성을 반영한 악성코드인데 반해 FakeAV, 랜섬웨어 등 다른 악성코드들의 유형을 보면 PC 의 악성코드 발전 형태와 유사하다는 것을 알 수 있다. 이번에 살펴 볼 HackTool 의 일종인 'USB Cleaver' 앱 역시 그 기능이 PC 의 해킹툴 들과 유사하다.

 

'USB Cleaver'는 PC의 정보를 탈취할 수 있는 앱으로 해당 앱 설치 시, 아래와 같은 아이콘이 생성된다.

 

[그림 1] 아이콘 모양

 

앱 설치 시, 아래 그림과 같이 메뉴 3개가 나타나며 'Download Payload' 버튼을 선택하면 PC 의 정보를 가져오기 위한 각종 툴들을 다운로드 한다.

 

[그림 2] Payloads 다운로드

다운로드가 완료되면 /mnt/sdcard/usbcleaver/system 경로에 아래와 같은 파일들이 다운로드 된 것을 확인할 수 있다. 또한 mnt/sdcard 에 autorun.inf, go.bat 파일도 같이 다운로드 한다.

[그림 3] 다운로드 되는 파일들

단말기를 PC에 연결한 후, 아래 그림처럼 [Enable / Disable Payloads à 원하는 정보 체크 및 Generate Payload à 'Payload Generated'토스트 메시지 확인] 단계에 따라 진행하면 PC 의 정보들을 가져올 수 있다.

 

[그림 4] Payloads Generate 화면

 

 

* PC 에서 가져오는 정보

- PC 의 네트워크 정보

- FireFox, Chrome, IE 패스워드 정보

- WiFi 패스워드 정보

 

아래 [그림 5]는 PC의 네트워크 정보를 가져온 화면이며, 관련 파일들은 /mnt/sdcard/usbcleaver/logs/ 경로 밑에 저장된다.

 

[그림 5] PC의 Network 정보

 

[그림 6] go.bat 코드

 

위 [그림 6]의 그림은 단말기가 연결이 될 때, autorun.inf 가 실행 시키는 batch 파일의 일부이다. 해당 앱이 PC의 정보를 가져오기 위한 기능들을 가지고 있는 점과 윈도우 프로세스 실행을 위해 USB 자동실행 기능을 이용한 점(해당 기능을 이용한 악성코드는 과거에도 발견된 사례는 존재한다.)들의 발전형태는 PC와 유사하다.

 

악성앱 들의 감염을 방지하기 위해 V3 mobile 과 같이 믿을 수 있는 모바일 백신 사용을 권한다.

 

V3 mobile 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

 

Android-AppCare/UsbCleaver.4EFE8 (2013.03.24.00)

댓글