RAT를 탑재한 안드로이드 악성코드 GhostCtrl 주의

개요 트랜드마이크로, 권환 및 데이터 탈취, 모바일 랜섬웨어 등의 기능을 수행할 수 있는 안드로이드 악성코드(GhostCtrl) 발견      주요내용   GhostCtrl 악성코드는 유명 앱(whatsapp, Pokemon GO 등)을 가장하여 악성 APK 설치를 유도하며, 사용자가 설치를 취소해도 계속해서 팝업창 생성 설치 후 아이콘을 삭제하며, com.android.engine 이라는 명칭으로 백그라운드에서 실행 및 C&C 서버와 암호화 통신 GhostCtrl 악성코드는 관리자 권한 탈취, 모바일 랜섬웨어 기능, 난독화를 통한 악성 루틴 은닉 기능 등 세 가지 변종이 존재 그 외에 블루투스 연결 제어, 지정한 전화번호의 문자 메시지 탈취, 암호 삭제 및 재설정, 카메라/비디오 녹화 후 C&C 서버로 전송 등 다양한 기능 수행 가능 <그림1. 모바일 랜섬웨어와 유사한 기능을 수행하는 코드>   시사점   모바일 OS 최신 업데이트 및 중요 데이터의 주기적인 백업 필요 앱 다운로드 시 요구 권한을 확인하여야 하며, 리뷰를 참조한 후 설치하는 것을 권장   [출처] 1. TrendMICRO,, “Android Backdoor GhostCtrl can Silently Record Your Audio, Video, and More”, 2017.7.17. 2. BLEEPINGCOMPUTER “GhostCtrl Is an Android RAT That Also Doubles as Ransomware”, 2017.7.17. 작성 : 침해대응단 탐지1팀

--------------------------------------------------

출처 : 보호나라 http://boho.or.kr