트렌드마이크로(대표 에바 첸)는 ADB.Miner 안드로이드 ADB를 활용한 악성 코드가 빠르게 확산되기 시작했다고 발표하고 이와 관련 하여 분석된 악성코드 정보를 업데이트하였다.

트렌드마이크로는 이 악성코드의 감염이 1월31일부터 시작되었으며, 현재의 웜과 유사한 감염이 2월 3일 15시부터 발견되었다고 밝혔다. 감염된 포트는 5555, 안드로이드 기기에서 ADB디버깅 인터페이스의 작업 포트이며, 이 포트는 일반적으로 닫혀 있어야 한다. 악성 코드는 감염 후 5555 ADB 디버그 인터페이스를 오픈하며 이는 웜과 유사성을 띈다. 대부분 안드로이드 기반 스마트폰으로 파악된다. 감염된 장비의 수는 2.75~5.k 정도에 이르며 주로 중국 (~ 40 %)과 한국 (~ 30 %)에서 발생하고 있다.

이 악성코드는 미라이(mirai)의 스캐닝 코드 일부를 사용하고 있으며, 처음으로 안드로이드 봇(Bot)에 의해 사용되는 미라이(mirai) 코드이다. 이는 안드로이드 시스템의 ADB디버그 인터페이스를 목표로 하는 새롭게 활동하는 웜이며 24 시간 만에 5,000 대 이상의 장치를 감염 시켰다.

포트 5555의 스캔 트래픽은 2018년 2월 3일 15 시경에 시작되어 일일 평균 수치의 3배에 달하며 24시경에 10배 정도 증가한 것으로 나타났다. 스캐닝을 시작한 IP의 수와 전체 스캐닝 트래픽은 현재까지 계속 증가하고 있다. 현재 5555 포트 스캔 트래픽은 Google Scanmon 시스템의 모든 포트 중 상위 10 개까지 올라갔다. 새로운 포트가 갑자기 상위 10 개 리스트로 진입한 것은 은 2016 년 9 월의 미라이(mirai) 봇넷이 마지막이다.

5555 포트 스캔 트래픽은 Google Scanmon 시스템의 모든 포트 중 상위 10 개까지 올라갔다.
5555 포트 스캔 트래픽은 Google Scanmon 시스템의 모든 포트 중 상위 10 개까지 올라갔다.

유니크한 스캔 소스의 수는 scanmon 시스템에서는 2.75k이고 봇넷 추적 시스템에서는 5.5K 정도이다. 감염된 장치는 대부분 ADB 디버깅 인터페이스가 있는 Android 스마트 폰 또는 TV Box로 밝혀졌으며, 감염된 기기들은 악성 코드 확산을 적극적으로 시도하고 있다. 확산 소스를 분석함으로써 대부분 스마트 폰과 Android 기반의 스마트 TV (TV Box)임을 확인하였다.

감염된 기기는 XMR Coin들을 채굴하기 위해 사용된다. 지금까지 일련의 악성 코드 중 xmrig와 관련된 것은 두 가지 구성 그룹으로 XMR 토큰을 채굴하는 작업과 관련이 있다. 이 2 개는 동일한 지갑 주소를 공유하지만 다른 마이닝 주소를 사용한다.

트렌드마이크로 사이버 위협 인텔리전스는 모든 플랫폼에 적용 가능한 인텔리전스를 수집, 분석, 하고 있으며, 이는 트렌드마이크로 XGen을 통하여 모든 제품군에서 적용되고 있다고 밝혔다. XGen은 하이파이 머신러닝 적용으로 휴리스틱 분석 정확도를 높인 차세대 엔드포인트 보안 플랫폼으로 실행 전, 실행 중인 파일을 분석하고 센서스 검사, 화이트리스팅 등 `잡음제거` 기능으로 오탐률을 줄인다. XGen은 트렌드마이크로가 1억5500만 곳 이상 엔드포인트를 보호하며 수집한 데이터를 바탕으로 클라우드에서 머신러닝을 적용했다. 네트워크 단에 설치된 트렌드마이크로 샌드박스 장비와 연동해 의심 파일 행위분석도 지원한다.

이향선기자 hslee@nextdaily.co.kr

관련기사

저작권자 © 넥스트데일리 무단전재 및 재배포 금지