분석 정보/모바일 분석 정보

Donot Team의 새로운 변종 등장

알 수 없는 사용자 2021. 10. 27. 17:18

Donot TeamAPT-C-35라고도 불리며, 2020년 처음 등장한 이래로 특정 국가를 대상으로 지속적인 공격을 수행하였다. 주로 모바일 단말기를 대상으로 Firestarter 악성코드를 사용하여 APT 공격을 수행하였는데, 최근에 변종이 등장하였다. 이번에 등장한 변종은 지난 캠페인의 악성 동작과 유사하지만, 코드를 난독화 하거나 추가적인 악성동작을 수행하는 등 더욱 치밀하게 제작되었다. 지난 4월의 APT 공격은 자사 블로그에서도 언급한 바가 있어 아래의 링크에서 확인할 수 있다.

https://isarc.tachyonlab.com/3919

 

앱을 실행하면 아래의 이미지와 같이, 각종 권한을 획득한 다음 아무런 화면도 띄우지 않지만, 각종 악성 동작이 수행된다.

 

 [그림 1] (좌) 최근 변종 실행화면, (우) 4월 캠페인 실행화면

 

해당 악성코드는 단말기의 유심 정보를 포함하여 사용자의 개인정보가 포함되어있는 연락처, 통화기록, 문자메시지 등의 정보를 탈취한다. 그리고 아래의 표와 같이, 최근 변종은 외부저장소에 저장되어있는 일부 파일의 정보를 획득하는 동작이 추가되었다.

 

[표 1] 탈취 정보 및 파일명

 

그리고 사용자 단말기의 상태를 확인하여, 통화 중인 경우 사용자의 목소리를 녹음한다. 녹음한 정보는 "/Android/.system" 디렉토리 아래에 amr 확장자의 파일에 저장한다.

 

[그림 2] 녹음 코드

 

코드 내 일부 문자열이 난독화가 되어있어, 백신의 탐지를 우회하도록 설계되었다. 다음 문자메시지 정보를 탈취하는 코드를 예로 보면, 4월 캠페인(빨간 상자)에서 확인되는 문자열이 최근 변종(파란 상자)에서는 base 64로 인코딩 되어 있다.

 

[그림 3] (위) 4월 캠페인의 정보 탈취 코드, (아래) 변종의 정보 탈취 코드

 

Donot Team은 모바일을 대상으로 작년부터 올해까지 지속적으로 공격을 수행하였으며, 최근 변종까지 등장하여 더욱 다양한 사용자의 정보를 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.