분석 정보/모바일 분석 정보

정상 앱 사칭 Clast82 유포 주의

TACHYON & ISARC 2021. 4. 2. 17:18

정상 앱 사칭 Clast82 유포 주의

지난 3 Google Play 에 정상 앱을 위장한 악성 앱이 다량 발견되었다. 해당 악성코드는 Clast82 Goolge Firebase 플랫폼을 C2서버로 이용하여 악성동작을 하는 특징을 가지고 있으며, 최종 페이로드는 안드로이드 악성 앱으로 악명 높은 AlienBot MRAT을 다운로드한다.

 

하기의 표와 같이 Clast82 VPN을 비롯하여 여러 종류의 정상 앱으로 위장하였다.

[표 1] 악성 앱 목록

 

위의 목록 중 다수가 Google Play 에서 삭제되었지만 일부는 아직까지 판매 중에 있어 주의가 필요하다.

 

[그림 1] 판매중인 앱

 

해당 앱은 아래의 이미지와 같이, 악성 동작에 필요한 여러 권한을 취한다.

 

[그림 2] 권한

 

해당 앱은 악성 동작을 수행하기 전, ‘GooglePlayService’라는 이름으로 상태바에 알림창을 띄워 사용자를 속인다.

 

[그림 3] 알림창 코드

 

그리고 Firebase의 인스턴스를 획득하여, 원격지와 연결하고 원격지에서 데이터를 수신 받는다.

 

[그림 4] Firebase Data Listener 코드

 

사용자에게 들키지 않도록, 미디어에 보이지 않게 응용 프로그램 내부에 apk 파일을 다운로드한다.

 

[그림 5] apk 다운로드 코드

 

그리고 다운로드된 파일을 실행한다.

 

[그림 6] 실행 코드

 

정상적인 앱을 가장한 Clast82 악성 앱은 현재까지도 Google Play 에서 판매 중이며, 정상적인 앱을 가장하여 사용자가 필요에 의해 다운로드될 수 있다. 그리고 추가적으로 악성 앱이 다운로드되어 은행 정보 탈취 등 2차 피해가 발생할 수 있기에 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.