분석 정보/모바일 분석 정보

넷플릭스 사칭 악성 앱 분석 보고서

TACHYON & ISARC 2021. 4. 12. 15:40

넷플릭스 사칭 앱

최근 코로나 감염 바이러스로 인해, 집콕 생활이 장기화되면서 넷플릭스와 같은 OTT 미디어 서비스의 이용이 급증하고 있다. 이와 함께 해당 플랫폼을 사칭한 안드로이드 앱이 나타나 큰 주의가 필요하다. 해당 악성 앱은 메신저 어플리케이션 중에서 국내외 사용자가 많은 WhatsApp의 정보를 탈취하기에 주의가 필요하다.

 

해당 악성 앱은 FilxOnline 이라는 이름으로 Google Play 에서 판매되고 있었으며, 하기의 이미지와 같이 넷플릭스를 사칭하여 정상 앱과 유사한 모습과 이름으로 사용자를 속이고 있다.

 

[그림 1] 악성 앱

 

해당 앱을 실행하면 다음과 같이 과도한 권한을 요구한다. 먼저, 메인 화면의 ‘Allow’ 버튼을 클릭하면 아래의 그림과 같이 오버레이가 가능하도록 설정을 바꾸기를 유도한다. 이는 다른 앱이 실행될 때 그 위에 해당 앱을 실행하도록 할 수 있는 권한으로 정보 탈취 등의 동작으로 이어질 수 있다.

 

 

[그림 2] 오버레이 설정

 

아래의 초록색 상자를 보면 오버레이 권한을 획득하는 것을 볼 수 있다. 그리고 해당 앱이 꺼지지 않고 계속해서 실행되도록 배터리 최적화 요청을 무시하도록 설정한다.

 

 

[그림 3] 오버레이 코드

 

그리고 앱이 동작하더라도 미디어가 화면에 보이지 않아 사용자가 눈치채지 못하도록 하는 백그라운드 모드 실행 권한을 획득한다.

 

 

[그림 4] 백그라운드 권한

 

그리고 알림(notification)에 접근할 수 있는 권한을 획득하여 왓츠앱에서 전달되는 메시지를 훔칠 수 있도록 한다.

 

 

[그림 5] notification 권한

 

알림 접근 권한을 획득한 다음, 아래의 코드와 같이 상태바 알림에 접근하여 whatsapp에서 메시지가 오면 해당 내용을 획득하여 C2서버에 전송한다.

 

 

[그림 6] 메시지 탈취 코드

 

정상 넷플릭스 앱을 가장한 해당 악성 앱은 과도한 권한을 요구하고, 개인적인 메시지 내용을 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.