분석 정보/모바일 분석 정보

이슬람 코인 거래소 사칭 앱

알 수 없는 사용자 2021. 6. 3. 11:29

지난 3월 이슬람 금융법을 준수하는 공식 이슬람 블록 체인 거래소 Caizcoin이 출시되었다. 그리고 두 달 만에 Caizcoin 코인 거래소를 사칭한 앱이 유포되어 주의가 필요하다. 해당 악성 앱은 Caizcoin 사칭 사이트에서 유포되었으며, 사용자 정보를 탈취하고 다운로더의 기능을 한다.

 

하단의 이미지와 같이 정상 Caizcoin 사이트와 유사한 모습으로 가짜 사이트에서 악성 앱을 다운로드할 수 있다.

 

[그림 1] (좌) 정상 사이트, (우) 가짜 사이트

 

Caizcoin의 정상 사이트에서는 구글 플레이에서 다운로드를 하도록 권장하며, 아래와 같이 구글 플레이에서 판매 중에 있다.

 

[그림 2] 구글 플레이의 Caizcoin

 

아래의 난독화 해제된 스크립트로 html 파일를 생성하고, 생성된 코드로 Webview를 생성하여 필요한 권한을 가진다.

 

[그림 3] html 스크립트 일부

 

생성된 Webview는 다음과 같이 사용자 단말기에 보여진다. 화면은 좌에서 우로 진행되며 붉은 상자에 버튼을 눌러 권한을 획득한다.

 

[그림 4] 권한 획득

 

그리고 사용자 단말기를 무음으로 세팅하여 악성 동작이 진행되는 동안 사용자 눈에 띄지 않도록 한다.

 

[그림 5] 무음 설정 코드

 

그리고 이후 악성 동작을 이어가기 위해, Line1 전화번호 및 배터리 잔량 등 사용자 단말기의 정보를 수집하여 HTTP 통신으로 원격지 서버에 전송한다.

 

[그림 6] 정보탈취 코드

 

사용자 정보를 탈취하며 연결된 서버에서 "||youNeedMoreResources||" 문자열을 받아오면, APK 디렉토리에 system.apk 파일을 다운로드한다. 현 분석 시점에서는 해당 서버에 연결되지 않는다.

 

[그림 7] 다운로더 코드

 

그리고 "No" 문자열을 받아온다면, 안드로이드 버전과 도시, 모델명 등의 정보를 탈취한다.

 

[그림 8] 정보 탈취 코드

 

해당 악성 앱은 정상 사이트를 사칭하여 악성 앱을 유포하고, 사용자의 단말기 정보를 탈취하고 사용자 몰래 단말기에 파일을 다운로드하는 등의 악성 동작을 하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.