Malware 아누비스(Anubis)에 대해

1. 아누비스(Anubis)란?

안드로이드 malware이다.

공격자는 끊임없이 악성코드를 플레이스토어에 몰래 넣은 게임을 사용자들에게 속여서

다운받도록 하는 것이다.

Why. 구글에서 앱이 감지되지 않는 이유는?

악성코드를 전혀 포함하지 않는 앱은 나중에 스스로 아누비스 malware 프로그램으로

업데이트되기 때문이다. 

 

2. 아누비스의 목적

사용자의 크리덴셜을 훔쳐내고, 키로거를 설치하며 랜섬웨어 공격까지 한다.

->현재 다양한 형태로 진화 중

 

★닙(Gnip)

아누비스의 변종으로 보이는 모바일 뱅킹 멀웨어가 출현

 

3. 공격 방법

①다운로드

 

②권한 부여

합법적으로 보이지만 "Request_install_packages(노란색 flag 권한)"와 같은 일부 이상한 권한이 필요하다.

이 권한은 응용 프로그램이 백그라운드에서 업데이트를 다운로드할 수 있도록 한다.

 

③업데이트

C&C에 로그인하여 업데이트 다운로드한다.

->사용자의 허락을 받지 않고 수신된 패킷으로 스스로 업데이트

   업데이트를 수신할 때 소스코드가 실행된다.

 

④새로운 "Activity"(2단계)을 시작

업데이트된 APK를 복구하기 위해 구글 emulator를 사용한다.

ADB(Android Debug Bridge)를 통해 스마트폰에서 다운받을 수 있다.

->분해된 APK는 50개 이상의 클래스와 수백개의 기능을 포함하고 있다.

 

⑤Manifest 추출물

안드로이드 Manifest를 보면 응용 프로그램의 시작에 어떤 클래스가 시작되었는지 알 수 있다.

 

4. 대응방안

①의심스럽거나 관련 없는 전자 메일, 특히 첨부 파일 또는 링크가 있는 전자메일은 열지 마십시오.

②신뢰할 수 있는 다운로드소스(비공식, 의심스러운 프리웨어 사이트, peer to peer 공유 네트워크 등)에 의해

   감염되는 경우가 많으므로 공식적이고 검증된 채널만 사용한다.

③합법적인 개발자가 제공하는 도구/기능으로 소프트웨어를 활성화하고 업데이트하는 것이 중요하다.

④데이터 사용량 중 상당한 데이터 사용을 하는 악성 응용프로그램의 존재를 파악한다.

   일부 악성 응용프로그램은 장치가 무선 네트워크에만 연결되어 있을 때 작동하도록 설계될 수 있는다는 점을 유의해

   와이파이와 테더링 데이터 사용량 모두 확인해야한다.

 

참조: blog.naver.com/baosol/221805877720

또 다시 나타난 아누비스, 안드로이드 장비 노리며 퍼진다 *

      :orangecyberdefense.com/uk/blog/uncategorized/reverse-engineering-of-the-anubis-malware/