분석 정보/모바일 분석 정보

Facebook 개인정보를 노리는 FlyTrap 악성 앱

지난 2021 3월부터 구글 플레이를 포함한 서드 파티 앱 스토어에 업로드되어 만 명 이상의 피해자를 발생시킨 새로운 안드로이드 악성 앱이 발견되었다. 이를 처음으로 발표한 해외 정보 보안 회사 Zimperium 으로부터 FlyTrap 으로 명명된 이 악성 앱은 기존의 정보 탈취형 앱과는 다르게 Facebook 과 관련된 개인정보만을 노린다.

 

FlyTrap 은 무료 쿠폰 제공, 설문 조사 투표 앱, 등으로 위장한 후, 앱 기능을 이용하기 위해 사용자에게 Facebook 계정으로 접속할 것을 요구한다. 아래 앱은 평소에는 무료 Netflix 쿠폰을 제공하는 앱으로 위장하지만, C&C 서버로부터 명령을 받으면 Facebook 계정 접속 버튼이 활성화된다.

 

[그림 1] 악성 기능 버튼 활성화 여부

 

활성화된 버튼을 클릭하면 정상적인 Facebook 로그인 페이지로 이동하여 사용자의 로그인을 유도한다. 하지만 사용자가 이메일 주소, 비밀번호를 입력하여 로그인하면 FlyTrap 에 의해 삽입된 악성 자바스크립트가 실행되면서 비밀번호가 탈취된다.

 

[그림 2] 악성 자바스크립트 삽입 코드

 

또한 Facebook 웹사이트 쿠키 데이터로부터 사용자의 고유 ID 를 추출하고 저장한다. 수집된 고유 ID는 앞서 탈취한 비밀번호, 단말기 IP, 등의 정보와 함께 C&C 서버로 전송된다.

 

[그림 3] 탈취한 정보 송신 코드

 

모바일 단말기에는 민감한 개인정보가 저장된 만큼 악성 앱에 감염되지 않도록 주의할 필요가 있다. 악성 앱에 감염되는 것을 방지하기 위해 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인해야 한다. 또한 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.

 

 

 

댓글

댓글쓰기