분석 정보/모바일 분석 정보

안드로이드용 정보탈취 악성 앱

알 수 없는 사용자 2021. 8. 9. 16:56

최근 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 해당 앱은 'VPN-Secure.apk' 이름으로 유포되었으며, 단말기 정보를 포함하여 연락처에 저장된 전화번호 등의 정보를 탈취한다. 또한, 단말기의 마이크 사용시 이를 녹음하여 원격지로 전송하기에 사생활 침해까지 이어질 수 있다.

 

해당 앱을 실행하면 아래의 그림과 같이 권한을 요구하고, 권한을 획득하면 악성동작이 시작된다.

 

[그림 1] 권한 요구 화면

 

악성동작을 수행하는 클래스를 서비스로 생성하여 지속적으로 반복 실행하도록 하고, 실행되는 동안 나타나는 알림을 제거하여 사용자가 알아차리지 못하도록 한다.

 

 [그림 2] 서비스 실행 코드

 

아래의 코드와 같이 사용자 단말기의 정보를 탈취한다.

 

[그림 3] 단말기 정보 수집

 

그리고 단말기의 networkgps 정보를 획득한다. 이 정보는 위치에 변화가 있을 때마다 업데이트된다.

 

[그림 4] 위치 정보 탈취 코드

 

연락처에 저장되어있는 이름과 전화번호 데이터를 탈취한다.

 

[그림 5] 연락처 정보 탈취 코드

 

화면이 on 상태일 때, 마이크 오디오를 녹음하여 외부저장장소 아래에 .hmz 파일로 저장한다.

 

[그림 6] 마이크 녹음 코드

 

위와 같이 획득한 정보는 원격지에 전송하고 해당 파일은 삭제한다.

 

[그림 7] 원격지에 데이터 전송 코드

 

해당 악성 앱은 단말기의 마이크 오디오를 녹음하고 위치 정보 및 연락처 정보를 탈취하는 등의 악성동작을 수행하며, 어플리케이션을 종료하더라도 지속적으로 동작할 수 있기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.