분석 정보/모바일 분석 정보

Google Play에서 판매중인 악성 앱 주의

최근 다양한 경로로 안드로이드 악성 앱이 유포되어 문제가 되고 있는 와중에, Google Play에서 정상 앱을 위장한 악성 앱이 발견되어 큰 주의가 필요하다. 이 악성 앱“GoGo VPN”이라는 이름으로 유포되었으며, Facebook 로그인을 유도하여 입력된 사용자 정보를 웹사이트의 쿠키를 통해 탈취한다. 지난 8월에 발견된 FlyTrap 악성코드와 유사한 동작으로 해당 정보는 아래의 링크를 통해 확인할 수 있다.

https://isarc.tachyonlab.com/4389

 

해당 앱은 현 분석시점에도 Play에서 판매중인 것으로 확인된다.

 

[그림 1] Google Play 판매중인 앱

 

앱을 실행하면 하단 좌측 화면과 같이 연결을 요구하여, 해당 버튼을 누르면 Facebook 로그인을 요구한다.

 

[그림 2] (좌) 앱 실행 화면, (우) 페이스북 로그인 화면

 

이래의 그림과 같이 획득한 토큰은 Base64로 인코딩하여 원격지에 JSON의 형태로 전송된다.

 

[그림 3] 정보 탈취 코드

 

해당 악성 앱은 정상 앱을 위장하여 사용자의 로그인 정보를 탈취할 뿐 아니라, Google Play에서 판매중이므로 더욱 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.

 

 

 

댓글

댓글쓰기