오징어 게임 관련 앱으로 위장한 Joker

공격자는 언제나 사람들을 유혹하기 위해 유행하는 콘텐츠를 활용한다. 최근 넷플릭스의 오징어 게임이 세계적인 인기를 끌면서 이와 관련된 안드로이드 악성 앱이 우후죽순으로 늘고 있다. 이번에 발견된 안드로이드 앱은 겉으로는 바탕화면을 오징어 게임과 관련된 이미지로 바꾸는 기능을 가졌지만, 백그라운드에서 Joker 라는 이름으로 알려진 악성 앱을 다운로드하고 실행한다.

 

[그림 1] 오징어 게임 바탕화면 설정 앱으로 위장

 

악성 앱을 실행하면 서버로부터 so 확장자의 추가 악성 파일을 다운로드하고 로딩한다. so 확장자 파일은 또 다른 서버로부터 암호화된 Joker 악성 앱을 다운로드하며, 복호화 후 실행하여 본격적인 악성 행위를 준비한다.

 

[그림 2] 암호화된 추가 악성 APK 다운로드

 

다운로드된 Joker 는 사용자 몰래 유료 구독 서비스를 결제하는 기능을 수행한다. C&C 서버로부터 이와 관련된 작업 데이터를 수신 후, 눈에 보이지 않는 웹뷰를 생성하고 유료 구독 서비스 결제를 요청한다.

 

[그림 3] C&C 서버로부터 받은 작업 데이터 읽는 코드

 

결제 요청으로 인해 SMS 문자가 발생하면 PIN 번호를 추출하여 악성 자바스크립트에 추가한다. 악성 자바스크립트가 실행되면 결제 과정이 완료되어 유료 구독 서비스에 가입하게 된다.

 

[그림 4] PIN 번호 추출 코드

 

모바일 단말기에는 민감한 개인정보가 저장된 만큼 악성 앱에 감염되지 않도록 주의할 필요가 있다. 악성 앱에 감염되는 것을 방지하기 위해 더 이상 사용하지 않는 불필요한 앱은 삭제하고, 사용하는 앱이면 주기적으로 관리하며 이상 징후가 없는지 확인해야 한다. 또한 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.