분석 정보/모바일 분석 정보

사용자 정보를 탈취하는 TeaBot 악성 앱 주의

알 수 없는 사용자 2021. 5. 31. 13:20

'TeaBot' 또는 'Anatsa' 로 알려진 안드로이드 악성코드가 발견되었다. 해당 악성코드는 'TeaTV', 'VLC MediaPlayer', 'DHL', 'UPS' 와 같은 유명 택배 회사나 스트리밍 서비스 애플리케이션으로 위장하여 다양한 정보를 탈취하기 때문에 주의가 필요하다.

 

[그림 1] TeaBot App 형태

출처 : https://www.cleafy.com/documents/teabot

 

[그림 2] TeaBot 설치 및 실행 화면

 

Analysis

해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자에게 접근성 서비스를 활성화 해야한다는 알람을 지속적으로 발생시켜 사용자로 하여금 접근성 서비스를 활성화 하도록 유도한다.

 

[그림 3] 접근 서비스 활성화

 

그 후, 해당 단말기의 정보를 확인하여, 각각의 단말기 별로 오버레이 공격을 수행한다. 오버레이 공격 기법은 정상적인 애플리케이션 화면 위에 악성코드가 제공하는 가짜 화면을 출력하여 사용자에게 정보 입력을 유도하여 탈취하는 방법을 말한다.

 

현재까지 확인 된 단말기는 'moto', 'huawei', 'xiaomi' 이다.

 

[그림 4] 오버레이 공격 기법

 

"Teabot" 악성 코드는 백그라운드로 다음과 같은 정보들을 수집하여 원격지로 정보를 전송한다.

 

[표 1] 탈취하는 정보

 

그 밖에도 접근성 서비스를 이용하여 대상이 되는 애플리케이션의 이벤트가 발생하면 키로깅 기능이나 스크린 캡처 화면을 저장하여 탈취 한다.

 

탈취한 정보들은 아래의 C&C Server로 전송된다.

 

[그림 5] C&C Server

 

이때 전송되는 정보들에 대해서는 다음과 같이 XOR 로 인코딩되어 전달된다.

 

[그림 6] 전송되는 데이터 인코딩

 

또한 원격지에서 데이터를 입력 받아 다양한 추가 동작들을 수행한다. 아래 [2] 는 해당 명령문에 대한 기능들을 나열 하였다.

 

[표 2] 원격 제어 명령어

 

"Teabot 악성코드" 와 같이 오버레이 공격기법을 사용하는 악성코드들은 정상 화면인 것처럼 교묘하게 만들어져 있어 사용자들이 이를 알아차리기 쉽지 않다. 금융과 관련된 정보가 탈취되면 금전적으로 큰 피해가 발생할 수 있기 때문에 각별한 주의가 요구 된다.

 

출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.