Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보안드로이드 루팅 툴로 위장한 Rootkit Android Trojan 악성코드
작성일 2017-02-07 조회 1793

1. 개요

Android/Trojan.Rootnik는 취약점을 이용해 루트킷을 실행,사용자 데이터를 탈취한다.

설취된 악성앱은 다음과 같은 정상 앱으로 위장해 사용자 시스템에 설치된다.
- WiFi Analyzer
- Open Camera
- Infinite Loop
- HD Camera
- Windows Solitaire
- ZUI Locker
- Free Internet Austria

 

2. 확인 내역

설치된 후 관리자 권한을 탈취하고 사용자 동의없이 악성앱을 설치, 공격자 서버로부터 악성실행파일을 다운로드 후 실행한다.

<그림 1> An overview of Rootnik’s workflow (출처:http://researchcenter.paloaltonetworks.com/)


사용자 화면에 광고창을 팝업, 불법적인 광고수익을 취득하고, WiFi 정보를 탈취한다.
탈취하는 Wifi정보는 아래와 같다.
- SSID Key
- BSSID Key
- Password

설치 후 접속하는 공격자 서버 도메인은 다음과 같다.
- applight[.]mobi
- jaxfire[.]mobi
- superflashlight[.]mobi
- shenmeapp[.]info

안드로이드 루트킷에 사용되는 CVE 코드는 다음과 같다.
CVE-2012-4221
CVE-2013-2596
CVE-2013-2597
CVE-2013-6282

 

 

첨부파일 첨부파일이 없습니다.
태그