최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다.
하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다.
위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다.
Access Token을 통해 권한을 획득하였기에 Facebook의 여러가지 정보에 접근 할 수 있다. 그 중, 아래의 코드를 보면 사용자 프로필 정보를 획득한다.
그 외에도 “facebook.com”이 포함된 URL의 쿠키를 DB에 수집한다.
이렇게 수집한 데이터는 DES KEY로 인코딩한 다음, Volly 라이브러리를 통해 원격지 서버에 전송한다.
해당 악성 앱은 정상 앱과 같이 동작하면서 사용자를 속여 SNS의 계정 정보를 획득하고, 그와 관련된 URL의 쿠키를 탈취하는 등의 악성 동작을 수행하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| VNC로 원격 조종하는 Vultur (0) | 2021.08.05 |
|---|---|
| Youtube 사칭 정보탈취 앱 (0) | 2021.08.03 |
| PJobRAT 악성 앱 주의 (0) | 2021.07.20 |
| TeamViewer를 이용하여 원격 조종하는 Hydra (0) | 2021.07.02 |
| Chrome 사칭 악성 앱 주의 (0) | 2021.07.01 |