하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

RiskTool.Miner.a
바이로봇 버전정보 : 2018-04-03.00     활동 OS 플랫폼 : MS Windows     감염시 위험도 :
등록일 :
2018-09-21 11:45:42
       모네로(Monero) 암호화폐 채굴 악성앱!

해당 악성앱을 단말기에 설치하면 투명한 아이콘으로 설치되고 아이콘 명을 숨겨 사용자가 설치된 악성앱을 찾기 쉽지 않도록 속이며, 설치된 악성앱을 실행 시 투명한 아이콘이 완전히 사라진다. 악성앱을 이중으로 감추어서 사용자를 속이며 모네로 코인을 채굴한다. 사용자가 활성화된 기기관리자 해제를 시도할 경우 화면을 잠금하여 비활성화를 방해한다.

       [주요증상]
           가상 에뮬레이터 종료
           기기관리자 활성화 해제를 시도할 경우 화면 잠금
           모네로 채굴

       [분석정보]

       A. 감염경로
           안드로이드 공식마켓이 아닌 비공식 마켓을 통해 사용자가 직접 앱을 다운로드 후 설치하면 감염된다.

       B. 감염증상
           
              
              1) [그림1]과 같이 해당 악성앱이 설치되면 투명한 아이콘으로 바탕화면에 표시되어 사용자가 설치된 어플리케이션을
              확인하기가 쉽지 않다.


[그림 1] 투명한 악성앱 아이콘


              2) 해당 악성앱이 실행 되면 바탕화면의 투명한 아이콘이 사라진다.

[그림 2] 악성앱 실행시 아이콘이 사라짐


       C. 분석 내용

              1) 악성앱이 동작하는데 필요한 권한은 다음과 같다.
                       악성앱이 요구하는 권한
                       android.permission.INTERNET
                       android.permission.READ_PHONE_STATE
                       android.permission.ACCESS_NETWORK_STATE
                       android.permission.RECEIVE_BOOT_COMPLETED
                       android.permission.WAKE_LOCK
                       android.permission.WRITE_EXTERNAL_STORAGE
           
              
              2) 스마트폰 단말기에서만 실행되며, 바탕화면의 아이콘은 사라진다. 악성앱 실행 환경이 가상에뮬레이터일 경우 악성앱
              을 종료시킨다.


[그림 3] 에뮬레이터 확인


[그림 4] 에뮬레이터 확인 코드


              3) 사용자가 활성화된 기기관리자를 해제하려고 시도할 경우 화면을 잠금한다.

[그림 5] 기기관리자 비활성화 방해


              4) 악성앱이 설치된 단말기에 명령어를 내려서 모네로 채굴을 시작한다.

[그림 6] 모네로 채굴 명령어


              5) 공격자의 마이닝 풀 주소와 지갑 주소이다.
           마이닝 풀: sg1.supportxmr.com:3333
           지갑 주소: 49Bq2bFsvJFAe11SgAZQZjZRn6rE2CXHz4tkoomgx4pZhkJVSUmUHT4ixRWdGX8z2cgJeftiyTEK1U1DW7mEZS8E4dF5hkn

[그림 7] 마이닝 풀 주소와 지갑 주소


       D. 치료 방법
           바이로봇 모바일 2.0 에서 2018-04-03.00 이상 버전으로 치료된다.

       E. 위험도
           높음

Top