분석 정보/모바일 분석 정보

KISA 사칭한 악성 앱 주의

알 수 없는 사용자 2021. 6. 2. 17:34

최근, 한국인터넷진흥원(KISA)를 사칭한 악성 앱이 발견되었다. 해당 악성앱은 안드로이드 공식 앱스토어에 업로드 되어 있지 않지만 KISA 아이콘과 화면 UI 등을 위장하여 사용자의 정보를 탈취하기 때문에 각별한 주의가 필요하다.

 

[그림 1] KISA 사칭앱 실행 화면

 

Analysis

해당 악성 앱의 주요 동작은 정보 탈취이다. 악성 앱은 원활한 악성 동작을 수행하기 위해 사용자로 하여금 필요한 권한을 허용하도록 유도한다.

 

[그림 2] 권한 요청 코드

 

악성앱은 재부팅 시에도 메인 서비스를 실행하기 위해 아래와 같이 BootCompletedBroadcastReceiver 의 권한을 이용한다.

 

[그림 3] 재부팅 후 메인 서비스 실행

 

MainService 에서는 onStartCommand 를 재정의하여 비동기 태스크를 생성하고 단말기의 다양한 정보들을 수집하여 원격지로 전송한다.

 

[그림 4] 정보 탈취

 

악성코드들은 주로 공공 및 금융기관, 포털 사이트 등을 사칭하여 사용자의 개인 정보 및 금융 정보를 탈취하고 제2의 피해가 발생할 수 있는 상황을 만들기 때문에 항상 각별한 주의가 요구 된다.

 

출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.