분석 정보/모바일 분석 정보

클럽하우스 앱으로 위장한 BlackRock

TACHYON & ISARC 2021. 3. 23. 09:01

사이버 보안 회사 ESET 에서 최근 유행하는 오디오 채팅 앱 클럽하우스로 위장한 정보 탈취형 악성 앱 BlackRock 이 발견된 사실을 게재했다. 클럽하우스는 유명인사의 실시간 대화를 들을 수 있어 인기를 끌었으나, iOS 기기만을 지원한다는 점 때문에 사용자의 불만이 있었다. 공격자는 이를 이용하여 악성 앱을 공식 안드로이드 버전 클럽하우스 앱으로 위장하고 사용자를 유인했다.

   출처 : https://blog.eset.ie/2021/03/19/beware-android-trojan-posing-as-clubhouse-app/

 

[그림 1]  애플 앱스토어의 클럽하우스 이미지

[그림 2] 는 정상 클럽하우스 웹 사이트와 악성 앱을 배포하는 가짜 웹 사이트의 차이를 보여준다. 정상 웹 사이트는 "joinclubhouse.com" 도메인을 사용하며 iOS 버전 다운로드 버튼이 있는 반면, 악성 웹 사이트는 "joinclubhouse.mobi" 도메인과 구글 플레이 버튼이 존재한다. 일반적인 정상 안드로이드 앱은 다운로드 시 구글 플레이로 리다이렉트되지만 해당 악성 웹 사이트는 구글 플레이를 우회하여 직접 단말기로 다운로드하고 설치하도록 유도하고 있다.

[그림 2]  정상 웹 사이트 (왼쪽) 와 가짜 웹사이트 (오른쪽) 비교

이미지 출처 : https://esetireland.files.wordpress.com/2021/03/figure-1a-463x1024-1.jpg

 

다운로드되는 애플리케이션은 BlackRock 으로 알려진 정보 탈취형 악성 앱이다. BlackRock 은 설치 시 [그림 3]과 같이 단말기에 대한 접근성 서비스 권한을 요청한다. 본래 접근성 서비스는 장애를 가지거나, 일시적으로 단말기와 정상적인 상호작용을 할 수 없는 사용자를 지원하기 위해 존재하나 BlackRock 은 이를 악용하여 정보 탈취에 이용한다.

악성 앱 설치 후에는 Netflix, Outlook, eBay, 등 금융, 소셜 미디어와 관련된 앱을 대상으로 정보 탈취를 시도하며, 사용자가 공격 대상 앱을 실행하면 가짜 화면을 생성하고 사용자 입력을 유도하는 오버레이 공격을 실행한다.

[그림 3] BlackRock 설치 시 접근성 서비스 권한 요청

 

공격자는 언제나 사람들의 관심을 끌기 위해 유행하는 최신 트렌드를 이용하는데 이번에는 안드로이드 버전의 클럽하우스를 원하는 사용자들의 마음을 노렸다. 현재 공식적으로 안드로이드 기기를 지원하는 클럽하우스 앱은 존재하지 않는다는 점을 유념하며, 이후에도 발생할 사이버 공격에 대비하여 최신 보안 동향에 관심을 가질 필요가 있다. 이 밖에도 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.