분석 정보/모바일 분석 정보

안드로이드 백신 프로그램 사칭 악성 RAT

알 수 없는 사용자 2021. 5. 18. 10:44

최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다.

 

해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다.

 

[그림 1] (좌) 앱 실행시 보이는 화면, (우) 백그라운드 모드 설정 알림

 

가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외부저장장소에 "screenshot.jpg"라는 이름으로 저장된다.

 

[그림 2] 스크린샷 코드

 

그 외에도 다음과 같은 정보를 탈취한다.

 

[표 1] 탈취하는 정보

 

탈취한 정보 아래의 이미지와 같이 데이터 스트림으로 정리되어 HTTP 포트로 원격지에 전달된다.

 

[그림 3] 데이터 전송 코드

 

이때 전송되는 정보는 base64로 인코딩되어 전달된다.

 

[그림 4] 인코딩 코드

 

그리고 원격지에서 데이터를 받아와 다양한 명령을 수행한다. 아래 이미지에서는 "opendir:[폴더]" 명령을 받아, 단말기에 존재하는 해당 폴더에 접근하여 내부 파일 및 폴더 정보를 탈취한다.

 

[그림 5] 메시지 탈취 코드

 

그 외에 아래의 명령어를 수행할 수 있다.

 

[표 2] 명령어

 

해당 악성 앱은 정상적인 백신 프로그램을 사칭하여 사용자를 속이며, 백그라운드 모드로 앱을 실행하여 정보 탈취 동작을 비롯한 원격 제어 동작과 같은 악성 동작이 실행 중인 것을 사용자가 눈치채지 못하도록 하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.