Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보OmniRat 진화된 변종 GhostCtrl 악성코드
작성일 2017-08-01 조회 1158

개요

 GhostCtrl RAT는 Trend Micro의 연구원에 의해 이스라엘 의료 기관에 대한 공격의 일부로 발견되었습니다. OmniRAT는 시장에서 가장 많이 사용되는 RAT 중 하나이며 Malware-as-a-Service 포털을 통해 $25~$75로 판매되고 있습니다. 그리고 다른 안드로이드 악성코드와 다른 특징은 원격에서 Windows, Linux, MAC 등의 운영체제 제어가 가능한 점입니다.

 

확인 내역

 GhostCtrl은 App, MMS, whatsapp 및 Pokemon GO라는 인기있는 응용 프로그램인 것처럼 가장하여 유포가 됩니다. 초기 버전에서 부터 총 3단계 에 걸쳐 업그레이드 되었는데 최신의 버전에서는 매우 다양한 기능과 높은 수준의 기능이 포함되어 있다. 그래서 일반적인 악성 행위 이외에도 특별한 악성 행위를 수행하기도 합니다.

기기에 해당 악성코드가 설치가 됐을 경우에는 C2서버의 명령을 받아 아래와 같은 악성 행위를 수행합니다.


-ACTION CODE =10, 11: Wifi 상태 제어
-ACTION CODE= 34: 휴대전화의 센서등을 통한 실시간 모니터링
-ACTION CODE= 37: 야간 모드 및 자동차 모드등 설정 가능
-ACTION CODE= 41: 진동 기능 제어 
-ACTION CODE= 46: 사진을 배경화면으로 다운로드 
-ACTION CODE= 48: 현재 상황의 디렉토리의 파일 정보를 리스팅하고 C2서버에 업로드
-ACTION CODE= 49: 지정된 디렉토리의 파일 삭제
-ACTION CODE= 50: 지정된 디렉토리의 파일의 이름 재설정
-ACTION CODE= 51: C2서버로 원하는 파일 업로드
-ACTION CODE= 52: 지정된 디렉토리  생성
-ACTION CODE= 60: 텍스트를 음성으로 변경시키는 기능 사용 
-ACTION CODE= 62: 공격자가 지정한 번호로 SMS/MMS 전송 및 공격자 커스터마이즈 가능 
-ACTION CODE= 68: 브라우저의 히스토리 삭제
-ACTION CODE= 70: SMS 삭제 
-ACTION CODE= 74: 파일 다운로드
-ACTION CODE= 75: 공격자가 지정한 연락처로 발신
-ACTION CODE= 77: 공격자가 의도한 액티비티 뷰 관련 앱 오픈
-ACTION CODE= 78: 시스템 적외선 송신기 제어 
-ACTION CODE= 79: 공격자가 의도하는 쉘 명령어 수행가능

이러한 행위 이외에도 다른 악성코드와 다르게 


-공격자에 의해 지정된 계정의 암호 재설정 및 삭제
-다른 사운드를 재생하도록 설정 가능
-블루투스를 검색하여 다른 장치에 연결
-진행중인 전화를 종료
-이외 보편적인 악성행위인 파일다운로드, Wifi 상태제어, SMS 전송 및 삭제 등

기능 또한 수행하며 랜섬웨어의 기능을 수행할 수도 있습니다.

 

대응방안

1)의심스러운 애플리케이션 파일은 실행하지 않는다.

2)실제 목적보다 과도한 권한(Permission)을 요구하는 애플리케이션은 설치시에 주의를 요한다.

3)백신을 최신버전으로 업데이트하여 감염된 기기를 치료한다.

4)당사 IPS에서는 아래 패턴으로 대응이 가능합니다.

[21229] Android/Backdoor.Ghostctrl.2039800

 

참고

http://blog.trendmicro.com/trendlabs-security-intelligence/android-backdoor-ghostctrl-can-silently-record-your-audio-video-and-more/

https://securityintelligence.com/news/ghostctrl-android-rat-demonstrates-spooky-range-of-capabilities/

https://www.bleepingcomputer.com/news/security/ghostctrl-is-an-android-rat-that-also-doubles-as-ransomware/

 

첨부파일 첨부파일이 없습니다.
태그 OmniRat, GhostCtrl,Android,Malware,Rat