분석 정보/모바일 분석 정보

암호 화폐를 노리는 Oscorp 악성 앱

지난 1, 이탈리아의 CERT-AGID 에서 유럽의 안드로이드 사용자를 노린 정보 탈취형 악성 앱 Oscorp 에 대해 발표했다. 기기 정보 탈취, 암호 화폐 가로채기, 오버레이 공격, 등의 기능을 보유한 이 악성 앱은 초창기 활동 이후 모습을 드러내지 않다가 5월 경부터 Ubel 이라는 이름으로 탈바꿈하여 사이버 공격자들 사이에서 판매되었다.

 

[그림 1] 구글 플레이 앱으로 위장한 Oscorp

 

발견된 Oscorp 앱은 정상적인 구글 플레이 앱으로 위장한다. 설치된 악성 앱을 실행하면 가장 먼저 사용자에게 접근성 서비스 권한을 요청하는 화면이 출력된다.

 

[그림 2] 접근성 서비스 권한 요청 화면

 

접근성 서비스 권한을 얻은 Oscorp 는 권한을 악용하여 감염된 기기를 모니터링한다. 모니터링 중 아래 문자열이 포함된 앱이 실행되면 해당 앱 삭제를 시도하며, 이는 백신 앱의 활동을 방해하기 위함으로 추정된다.

 

 [그림 3] 앱 삭제 대상 앱 문자열 목록

 

다른 모바일 악성 앱과 마찬가지로 Oscorp 또한 공격자 C&C 서버로부터 명령어를 수신하여 다양한 악성 기능을 실행하는 Bot 기능을 가지고 있다. 이 중 영상 녹화 기능이 실행되면 WebRTC STUN 서버를 통해 수집한 녹화 영상 데이터를 실시간으로 공격자 서버로 전달한다.

 

[그림 4] STUN 서버 연결 코드

 

이 밖에도 암호화폐 관련 앱이 실행되면 송금 암호화폐 지갑 주소를 공격자의 것으로 바꿔치기하여 공격자의 지갑으로 암호화폐가 송금되도록 유도한다.

 

[그림 5] 암호 화폐 지갑 주소 바꿔치기 코드

 

모바일 단말기에는 민감한 개인정보가 저장된 만큼 악성 앱에 감염되지 않도록 주의할 필요가 있다. 악성 앱에 감염되는 것을 방지하기 위해 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인해야 한다. 또한 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.

 

 

 

댓글

댓글쓰기