분석 정보/모바일 분석 정보

TeamViewer를 이용하여 원격 조종하는 Hydra

많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다.

 

[그림 1] Adobe Flash Player 로 위장한 Hydra

 

설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다.

 

[그림 2] 접근성 서비스 권한 요청 화면

 

접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. 단말기에 TeamViewer Host 앱이 설치되어 있다면 C&C 서버로부터 공격자의 아이디와 패스워드를 받고, 피해자 단말기를 공격자의 계정에 등록하여 원격으로 조종한다.

 

[그림 3] 공격자 TeamViewer 계정에 단말기 등록 코드

 

이외에도 C&C 서버로부터 화면 잠금 명령을 받으면 지속적으로 잠금 화면을 출력하여 사용자가 단말기를 조작하지 못하도록 방해한다.

 

[그림 4] 화면 잠그기 코드

 

또한 C&C 서버로부터 정보 탈취 스크립트가 포함된 html 파일과 가짜 앱 아이콘을 다운로드하여 오버레이 공격을 시도한다. 사용자가 오버레이 공격 대상 앱을 실행하면 준비된 가짜 웹뷰를 출력하여 아이디, 패스워드, 카드 번호와 같이 민감한 정보를 입력할 것을 요구한다. 사용자가 정보를 입력하면 해당 정보를 C&C 서버로 전송한다.

 

[그림 5] 오버레이 공격 대상 앱 목록

 

[그림 6] 오버레이 공격에 사용되는 앱 아이콘

 

원격 조종과 같이 강력한 권한을 가진 앱은 종종 악성 앱의 공격 대상이 될 수 있다. 사용자는 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인할 필요가 있다. 또한 악성 앱으로 인한 피해를 막기 위해서는 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.

 

 

 

댓글

댓글쓰기