최근 안드로이드 단말기를 대상으로 하는 악성 어플리케이션이 많이 등장하여, 모바일 백신의 중요성이 커지고 있다. 이에 여러 보안회사에서 백신 프로그램을 배포하고 있는 한편, 이러한 백신 프로그램을 사칭한 악성 앱이 등장하였다. 해당 앱은 "Avast Android Antivirus Email Scanner 2021" 이라는 이름으로 유포되었으며, 단말기에 저장되어있는 사용자의 정보 탈취를 비롯하여 원격제어 동작을 하기에 주의가 필요하다.
해당 앱을 실행하면, 우측 하단 이미지에서 보이는 알림창을 빠르게 띄웠다 사라지며, 사용자가 눈치채지 못하게 백그라운드 모드에서 동작을 수행한다.
가짜 백신 앱은 사용자 단말기에 다양한 정보를 탈취한다. 먼저, 사용자의 화면을 캡처하여 파일로 저장한다. 해당 이미지는 외부저장장소에 "screenshot.jpg"라는 이름으로 저장된다.
그 외에도 다음과 같은 정보를 탈취한다.
탈취한 정보 아래의 이미지와 같이 데이터 스트림으로 정리되어 HTTP 포트로 원격지에 전달된다.
이때 전송되는 정보는 base64로 인코딩되어 전달된다.
그리고 원격지에서 데이터를 받아와 다양한 명령을 수행한다. 아래 이미지에서는 "opendir:[폴더]" 명령을 받아, 단말기에 존재하는 해당 폴더에 접근하여 내부 파일 및 폴더 정보를 탈취한다.
그 외에 아래의 명령어를 수행할 수 있다.
해당 악성 앱은 정상적인 백신 프로그램을 사칭하여 사용자를 속이며, 백그라운드 모드로 앱을 실행하여 정보 탈취 동작을 비롯한 원격 제어 동작과 같은 악성 동작이 실행 중인 것을 사용자가 눈치채지 못하도록 하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| KISA 사칭한 악성 앱 주의 (0) | 2021.06.02 |
|---|---|
| 사용자 정보를 탈취하는 TeaBot 악성 앱 주의 (0) | 2021.05.31 |
| 시스템 업데이트의 형태로 위장한 앱 주의 (0) | 2021.04.30 |
| Joker 악성코드, 화웨이 안드로이드 기기 50만대 이상 감염 (0) | 2021.04.23 |
| 모바일 대상 APT 공격 그룹, Donot Team (0) | 2021.04.22 |