분석 정보/모바일 분석 정보

해외 직구 쇼핑 위장한 악성앱 주의

알 수 없는 사용자 2021. 8. 31. 17:42

과거, 해외 직구 이용 방법을 모르거나 어려워 많은 사용자들이 이용하지 못하였지만, 현재는 많은 온라인 사이트와 앱들이 쉽고 간편하게 주문을 할 수 있도록 제공하고 있어 사용자가 늘어나고 있다. 이와 같은 점을 노리고 해외 직구 쇼핑몰 앱으로 위장한 악성 앱이 발견되어 사용자들의 주의가 요구된다.

 

최근, 트윗을 통해 발견 된 악성 앱은 크로켓 이라는 앱을 만든 회사인 "YOLO Corp" 회사에서 만든 것처럼 위장한다.

 

해당 앱을 설치하고 실행하면, 다른 정상 쇼핑몰 앱과는 다르게 과도한 권한을 요구한다.

 

[그림 1] 해외 쇼핑몰로 위장한 악성 앱

 

"LT MALL" 악성 앱은 사용자 환경의 정보들을 원활하게 탈취하기 위해 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. "Firebase 클라우드 메시징(FCM)" 은 메시지를 안정적으로 전송할 수 있는 교차 플랫폼 메시징 솔루션이다.

 

Firebase를 이용한 악성코드들이 종종 발견되고 있다. Firebase를 이용한 추가 사례는 자사 블로그를 통해 확인할 수 있다.

 

Firebase를 이용한 악성코드 사례

2021.04.02 – 정상 앱 사칭 Clast82 유포 주의

2021.04.30 – 시스템 업데이트의 형태로 위장한 앱 주의

2021.07.20 – PJobRAT 악성 앱 주의

 

해당 악성 앱이 Firebase를 이용하여 원격지와 통신할 때 사용되는 명령어 중 일부는 아래와 같으며, 주로 감염 된 단말기를 대상으로 통화 내역, SMS 내역, 연락처 목록, 카메라 촬영 이미지 등을 수집하고 기본 전화 앱을 변경하는 악성 행위 동작을 수행한다.

 

[그림 2] 명령어에 따른 추가 악성 행위들

 

또한, 악성 앱은 사용자가 통화를 시도하면 통화 상태를 감지 하고 발신 번호를 변조하여 화면에 보이는 번호로 발신 되는 것이 아닌 공격자의 전화로 연결되도록 하는 피싱 기능이 존재한다.

 

[그림 3] 통화 상태 감지

 

공격의 대상이 되는 단말기 기종은 아래와 같다.

 

[그림 4] 대상 기종

 

해외 직구 쇼핑몰 앱은 장소와 시간에 구애 받지 않고 어디서든 간편하게 주문을 진행할 수 있다는 편리함이 있다. 하지만 이를 노리고 쇼핑몰 앱으로 위장한 악성 앱들이 제작되어 유포되고 있기 때문에 사용자들의 각별한 주의가 요구된다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.