분석 정보/모바일 분석 정보

AbereBot 악성 앱 주의

알 수 없는 사용자 2021. 9. 29. 11:38

최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다.

 

[그림 1] Chrome으로 위장한 악성 앱

 

해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다.

 

Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot Telegram 에서 최근에 새로 추가한 봇을 지원하는 기능 또는 API 를 말한다.

 

[표 1] Telegram Bot 명령어

 

[그림 2] SMS 정보 수집

 

그리고 해당 악성 앱은 단말기가 실행되는 곳의 지역을 확인하여 오버레이 공격을 하기 위한 사전 작업을 진행한다.

 

대상 국가와 금융 앱의 일부 목록은 아래와 같다.

 

[표 1] Telegram Bot 명령어

 

AbereBot 악성 앱은 APK 파일의 용량을 줄이기 위해, 오버레이 공격에 이용되는 가짜 웹 뷰 파일을 다운로드 하여 사용한다. 가짜 웹 뷰 파일들은 github에서 다운로드가 가능 하였지만, 현재 분석 시점에서 해당 페이지는 삭제 되었다.

 

[표 3] github 주소

 

[그림 3] Phishing Page.zip 다운로드

 

정상적으로 가짜 웹 뷰 페이지가 다운로드 된다면 해당 페이지를 이용하여 오버레이 공격을 시도하고 사용자가 입력한 정보를 탈취하여 원격지로 전송한다.

 

[그림 4] Overlay 공격

 

악성코드 제작자들은 악성코드가 성공적으로 실행될 수 있도록 하기 위해 사용자들이 많이 이용하는 앱들로 위장하고 사용자들이 정상 앱과 착각하고 실행하도록 만든다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.