지난 1월, 이탈리아의 CERT-AGID 에서 유럽의 안드로이드 사용자를 노린 정보 탈취형 악성 앱 Oscorp 에 대해 발표했다. 기기 정보 탈취, 암호 화폐 가로채기, 오버레이 공격, 등의 기능을 보유한 이 악성 앱은 초창기 활동 이후 모습을 드러내지 않다가 5월 경부터 Ubel 이라는 이름으로 탈바꿈하여 사이버 공격자들 사이에서 판매되었다.
발견된 Oscorp 앱은 정상적인 구글 플레이 앱으로 위장한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다.
접근성 서비스 권한을 얻은 Oscorp 는 권한을 악용하여 감염된 기기를 모니터링한다. 모니터링 중 아래 문자열이 포함된 앱이 실행되면 해당 앱 삭제를 시도하며, 이는 백신 앱의 활동을 방해하기 위함으로 추정된다.
다른 모바일 악성 앱과 마찬가지로 Oscorp 또한 공격자 C&C 서버로부터 명령어를 수신하여 다양한 악성 기능을 실행하는 Bot 기능을 가지고 있다. 이 중 영상 녹화 기능이 실행되면 WebRTC 와 STUN 서버를 통해 수집한 녹화 영상 데이터를 실시간으로 공격자 서버로 전달한다.
이 밖에도 암호화폐 관련 앱이 실행되면 송금 암호화폐 지갑 주소를 공격자의 것으로 바꿔치기하여 공격자의 지갑으로 암호화폐가 송금되도록 유도한다.
모바일 단말기에는 민감한 개인정보가 저장된 만큼 악성 앱에 감염되지 않도록 주의할 필요가 있다. 악성 앱에 감염되는 것을 방지하기 위해 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인해야 한다. 또한 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 암호화폐 채굴 위장 앱 (0) | 2021.08.31 |
|---|---|
| Facebook 개인정보를 노리는 FlyTrap 악성 앱 (0) | 2021.08.27 |
| 안드로이드용 정보탈취 악성 앱 (0) | 2021.08.09 |
| 국내 금융 회사 앱으로 위장한 악성 앱 주의 (0) | 2021.08.06 |
| VNC로 원격 조종하는 Vultur (0) | 2021.08.05 |