Wins blog

글로벌 정보보안 파트너! Global Security  No.1 윈스는 국가대표 정보보안 기업에서 글로벌 강소기업으로 도약합니다.

보안 정보

앞 내용 보기 다음 내용 보기
악성코드 정보Android/Trojan.Ztorg.1451683 분석
작성일 2017-03-20 조회 1246

1. 개요

Qysly 라고도 알려진 Ztorg는 안드로이드 멀웨어 중에 하나이다. 2015년에 처음 등장한 이후로 변형되어 지속적으로 활동중이다.

해당 앱은 쿨 비디오 플레이어로 위장하였으며, 다른 악성앱을 다운로드하여 설치한다.

분석을 어렵게 하기 위해 Anti VM 기술과 난독화가 적용되어 있다.

 

2. 확인 내역

해당 악성 앱은 Anti VM 기술이 적용되어 있어 가상 환경에서는 악의적인  행위를 하지 않는다. 정상적인 소스파일과 악의적인 소스파일이 모두 존재하며,

악의적인 소스파일의 경우 문자열 난독화가 적용되어 있어 악의적인지 판단하기 어렵게 하였다.


[그림1. 해당 앱 실행 내역]


[그림2. 문자열 난독화 내역]
 

[그림3. 소스코드 상의 난독화 디코딩 내역]

 

[그림4. Anti VM 확인 내역]

 

[그림5. C&C 주소 내역]

 

3. 정리

본 게시글에서 Android/Trojan.Ztorg.1451683 악성 앱에 대해 알아보았다.

공격자들은 여러 기술을 적용하여 분석을 어렵게 하고 있으며, 정상 앱처럼 작동하도록 만들고 있다.

이러한 공격들 대부분은 공식 Google 스토어나 App Store가 아닌 곳으로 유포되고 있으므로 신뢰할 수 있는 곳에서만 앱을 다운로드 해야 한다.

추가적으로 보안 설정에서 "알 수 없는 출처" 체크를 해제하여 비공식 앱이  설치되지 않도록 해야 한다.

 

4. 참고

https://virustotal.com/ko/file/2c546ad7f102f2f345f30f556b8d8162bd365a7f1a52967fce906d46a2b0dac4/analysis/

https://blog.fortinet.com/2017/03/15/teardown-of-a-recent-variant-of-android-ztorg-part-1

https://github.com/cryptax/misc-code

첨부파일 첨부파일이 없습니다.
태그 Ztorg  안드로이드  Qysly