분석 정보/모바일 분석 정보

시스템 업데이트의 형태로 위장한 앱 주의

TACHYON & ISARC 2021. 4. 30. 16:39

 

최근, 안드로이드 시스템 업데이트 앱으로 위장한 악성 앱이 발견 되었다. 해당 앱은 사용자의 정보를 원활하게 탈취하기 위해, 과도한 권한을 요구하며 ‘Background’ 로 실행하면 배터리 소모가 줄어들 것이라는 문구를 출력하여 사용자의 동의를 구한다.

 

[그림 1] FakeSysUpdate 실행 화면

 

Analysis

해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 배터리 최적화 기능을 사용하지 않는다. 이는 앱을 사용하지 않는 동안 실행하지 못하거나, 백그라운드에서 실행되는 앱의 성능이 저하되는 것을 방지하기 위한 것으로 보여진다.

 

[그림 2] 배터리 최적화 방지

 

해당 악성 앱은 사용자 환경의 정보들을 탈취하기 위하여 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. 원격 제어 명령어들을 확인 해 본 결과, 다양한 정보들을 제어 한다.

Firebase 클라우드 메시징(FCM)” 은 메시지를 안정적으로 전송할 수 있는 교차 플랫폼 메시징 솔루션이다.

 

[표 1] 원격 제어 명령어 코드 중 일부.

 

[그림 3] 원격 제어 일부 코드

 

하지만, 현재 분석 시점에서는 원격지와 연결이 원활하게 이루어지지 않고 있다.

 

[그림 4] C&C Server

 

원격 제어에 사용되는 일부 코드들을 확인 해보면 사용자 단말기의 클립보드 내용을 확인하거나 파일 확장자(.pdf, .doc, .docx, .xls, .xlsx, .ppt, .pptx )를 비교하여 검색한다. 해당 내용들은 추후 설치 된 폴더에 보관된다.

 

[그림 5] 클립 보드 및 파일 검색 부분

 

또한 아래와 같이 카메라 정보, 사용자 전화번호 정보, 위치 정보등을 탈취하여 각각의 해당 폴더에 보관한다. 이외에도 여러가지 정보를 탈취한다. 해당 폴더에 대한 내용은 [ 2] 에서 언급하도록 한다.

 

[그림 6] 정보를 획득하여 탈취할 폴더에 보관

 

주요 목적이 정보 탈취인 만큼, 악성 앱이 설치 되면 다음의 경로에 여러가지 숫자로 된 폴더를 만들어 탈취할 내용들을 보관한다. ( 경로 : “/data/data/com.update.system.important/files/files/system/FOLDER_NAME” )

 

[그림 7] 설치 된 폴더 목록(좌) / 폴더 명(우)

 

설치 된 폴더에는 북마크 목록, 검색 기록 목록, 문서 목록, 사용자 위치 정보 목록, 통화 기록, 사진 정보, SMS 정보 등이 보관되며 탈취 대상이 된다.

 

 

[표 2] 설치 된 악성 앱 패키지 내 폴더 목록

 

최종적으로 해당 폴더들은 업로드 되어 원격지로 유출된다.

 

[그림 8] 업로드 할 폴더 목록

 

마지막으로, 악성 앱은 사용자 화면에 지속적으로 시스템과 관련된 알림창을 출력하도록 만들어 악성앱이 동작하고 있다는 사실을 위장 한다.

 

[그림 9] 가짜 알림창 출력

 

FakesysUpdate 악성코드는 공식 마켓 앱에 등록되어 있지 않으며, 정확한 유포 방법이 알려지지 않았다. 만약 사용하고 있는 단말기가 평소보다 배터리 소모량이 증가하거나 알 수 없는 알림 메시지가 지속적으로 발생할 경우 의심해 볼 소지가 있다.

그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.