Chrome 사칭 악성 앱 주의

스마트폰의 운영체제와 상관없이 많은 스마트폰의 사용자들은 다양한 정보를 검색하거나 필요한 자료를 얻기 위해 브라우저를 많이 사용한다. 이 브라우저 가운데 가장 많이 사용하는 브라우저로 손꼽히는 Chrome 앱을 사칭하는 악성앱이 등장하여 주의가 필요하다.

 

[그림 1] 설치 아이콘 및 실행 화면

 

Analysis

Chrome 을 사칭한 악성앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청한다. 이는 접근성 서비스기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다.

 

[그림 2] 접근성 서비스 권한 요청

 

Chrome 아이콘을 사칭한 해당 악성앱의 주요 동작은 C&C서버와 통신하며, 명령을 받아 단말기 내 사용자 정보를 탈취하거나 추가 악성 동작을 수행한다.

 

[그림 3] C&C Server

 

탈취 대상이 되는 파일은 전화번호 목록, 설치 된 앱 목록, 미디어 파일, 키로거 파일 등이 있으며 해당 파일들은 원격지로 전송된다.

 

[그림 4] 파일 업로드

 

정보 탈취 대상이 되는 파일을 업로드 할 뿐만 아니라, 원격지로부터 추가로 apk 파일을 다운로드 할 수 있다.

 

[그림 5] 다운로드

 

또한, 오버레이 공격을 통하여 사용자가 입력한 정보를 탈취하여 원격지로 전송한다.

 

[그림 6] 오버레이

 

원격지에서 데이터를 입력 받아 다양한 추가 동작들을 수행한다. 아래는 명령문에 대한 기능 중 일부를 나열하였다.

 

[표 1] 명령어 별 기능

 

앞서, 살펴본 내용과 같이 악성코드 제작자들은 사용자가 정상 프로그램인지 악성 앱인지 구분하기 쉽지 않도록 정상 아이콘과 유사한 아이콘으로 위장한다.

 

그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.