최근, "Chrome App" 으로 위장하여 정보 탈취 동작을 수행하는 "AbereBot" 이 발견되어 주의가 요구된다. 사용자가 해당 악성 앱을 "Chrome App" 으로 잘못 인식하여 실행 할 경우, "AbereBot" 은 여러가지 과도한 권한을 요구하며 사용자가 이를 수락하면 단말기의 주요 정보를 수집하거나 가짜 웹 뷰를 출력하여 사용자에게 정보 입력을 유도하는 등 악성 행위를 한다.
해당 악성 앱이 실행 되면, 단말기 내의 연락처 목록과 OTP 인증번호가 있는 SMS 메시지 등을 모두 수집하고 Telegram Bot을 이용하여 원격지로 전송하거나 명령을 전달 받는다.
Telegram 은 여러 플랫폼을 지원하는 인터넷 메신저 이다. Telegram Bot 은 Telegram 에서 최근에 새로 추가한 봇을 지원하는 기능 또는 API 를 말한다.
그리고 해당 악성 앱은 단말기가 실행되는 곳의 지역을 확인하여 오버레이 공격을 하기 위한 사전 작업을 진행한다.
대상 국가와 금융 앱의 일부 목록은 아래와 같다.
AbereBot 악성 앱은 APK 파일의 용량을 줄이기 위해, 오버레이 공격에 이용되는 가짜 웹 뷰 파일을 다운로드 하여 사용한다. 가짜 웹 뷰 파일들은 github에서 다운로드가 가능 하였지만, 현재 분석 시점에서 해당 페이지는 삭제 되었다.
정상적으로 가짜 웹 뷰 페이지가 다운로드 된다면 해당 페이지를 이용하여 오버레이 공격을 시도하고 사용자가 입력한 정보를 탈취하여 원격지로 전송한다.
악성코드 제작자들은 악성코드가 성공적으로 실행될 수 있도록 하기 위해 사용자들이 많이 이용하는 앱들로 위장하고 사용자들이 정상 앱과 착각하고 실행하도록 만든다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| Google Play에서 판매중인 악성 앱 주의 (0) | 2021.10.15 |
|---|---|
| 은행 대출 사칭 악성 앱 다량 유포 (0) | 2021.10.01 |
| Sova 악성코드 (0) | 2021.09.16 |
| 해외 직구 쇼핑 위장한 악성앱 주의 (0) | 2021.08.31 |
| 암호화폐 채굴 위장 앱 (0) | 2021.08.31 |