많은 안드로이드 악성 앱은 피해자의 단말기에서 정보를 탈취하고, 관리자 권한을 얻기 위해 노력한다. 이 중 Hydra 는 유명 원격 모니터링 프로그램 TeamViewer 를 악용하여 감염된 단말기를 조종한다. 이번에 발견된 Hydra 앱은 Adobe Flash Player 와 관련된 앱으로 위장하여 사용자의 설치를 유도한다.
설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면을 출력한다. 접근성 서비스는 본래 사용자를 지원하기 위해 제공되는 향상된 기능이지만, Hydra 는 이를 악용하여 시스템을 모니터링하고 사용자 동의 없이 버튼을 클릭하는 등의 행위에 사용할 수 있다.
접근성 서비스 권한을 얻은 Hydra 는 단말기 내 사용자 정보를 수집하여 C&C 서버로 송신한다. 단말기에 TeamViewer Host 앱이 설치되어 있다면 C&C 서버로부터 공격자의 아이디와 패스워드를 받고, 피해자 단말기를 공격자의 계정에 등록하여 원격으로 조종한다.
이외에도 C&C 서버로부터 화면 잠금 명령을 받으면 지속적으로 잠금 화면을 출력하여 사용자가 단말기를 조작하지 못하도록 방해한다.
또한 C&C 서버로부터 정보 탈취 스크립트가 포함된 html 파일과 가짜 앱 아이콘을 다운로드하여 오버레이 공격을 시도한다. 사용자가 오버레이 공격 대상 앱을 실행하면 준비된 가짜 웹뷰를 출력하여 아이디, 패스워드, 카드 번호와 같이 민감한 정보를 입력할 것을 요구한다. 사용자가 정보를 입력하면 해당 정보를 C&C 서버로 전송한다.
원격 조종과 같이 강력한 권한을 가진 앱은 종종 악성 앱의 공격 대상이 될 수 있다. 사용자는 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인할 필요가 있다. 또한 악성 앱으로 인한 피해를 막기 위해서는 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| Facebook 계정 정보를 노리는 안드로이드 악성 앱 (0) | 2021.07.20 |
|---|---|
| PJobRAT 악성 앱 주의 (0) | 2021.07.20 |
| Chrome 사칭 악성 앱 주의 (0) | 2021.07.01 |
| COVID-19 백신 무료 등록 사칭 악성 앱 주의 (0) | 2021.06.18 |
| 국내 안드로이드 사용자 노린 MoqHao 피싱 (0) | 2021.06.10 |