분석 정보/모바일 분석 정보

Facebook 계정 정보를 노리는 안드로이드 악성 앱

알 수 없는 사용자 2021. 7. 20. 11:26


최근 Facebook 사용자의 계정 정보에 접근하는 안드로이드 악성 앱이 대량 등장하였다. 지금까지 밝혀진 바로 총 10개의 악성 앱이 발견되었고, 그 중 9개는 Google Play에서 구매 가능하여 수백 만 건 다운로드 되었다고 알려졌다. 해당 악성 앱은 정상 앱을 가장하며, 안드로이드용 Facebook SDK를 악용해 사용자의 로그인 정보를 획득한다.

 

하단의 이미지와 같이, 해당 앱은 동작하기 위해 사용자에게 Facebook 로그인을 요구한다.

 

[그림 1] Facebook 로그인


 

위의 그림과 같이, 해당 악성 앱은 안드로이드용 Facebook SDK를 통해 AccessToken을 획득하고, 정상적으로 Redirection 받아와 사용자 단말기에 Facebook 로그인 화면을 띄운다.

 

[그림 2] Facebook 로그인 화면 코드

 

 Access Token을 통해 권한을 획득하였기에 Facebook의 여러가지 정보에 접근 할 수 있다. 그 중, 아래의 코드를 보면 사용자 프로필 정보를 획득한다.

 

[그림 3] 사용자 프로필 정보 획득

 

그 외에도 “facebook.com”이 포함된 URL의 쿠키를 DB에 수집한다.

 

[그림 4] 쿠키 정보 획득

 

이렇게 수집한 데이터는 DES KEY로 인코딩한 다음, Volly 라이브러리를 통해 원격지 서버에 전송한다.

 

[그림 5] 데이터 전송

 

해당 악성 앱은 정상 앱과 같이 동작하면서 사용자를 속여 SNS의 계정 정보를 획득하고, 그와 관련된 URL의 쿠키를 탈취하는 등의 악성 동작을 수행하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.