분석 정보/모바일 분석 정보

FakeCop 악성 앱 주의

알 수 없는 사용자 2021. 11. 17. 10:31

최근, "Cyble Research Labs" 은 일본을 대상으로 정보 탈취 동작을 수행하는 "FakeCop" 이라는 악성 앱을 발견 하였다. "FakeCop" 은 일본의 통신회사에서 제공하는 백신 앱으로 위장해 사용자 단말기 내 주요 정보들을 수집하여 외부 원격지로 전송하기 때문에 주의가 필요하다.

 

[그림 1] 모바일 백신으로 위장한 악성 앱

 

악성 앱이 실행 되면 아래와 같이 기본 SMS 앱을 악성 앱으로 변경하도록 유도한다.

 

[그림 2] 기본 SMS 변경 유도

 

그 후, 사용자 단말기 내에 있는 연락처 목록, SMS 메시지, 단말기 정보 등을 수집하여 원격지로 전송한다.

 

[그림 3] SMS 정보 수집

 

아래는 악성 앱이 정보 탈취에 사용하는 프록시 서버로, 프록시 서버에 접근하면 원격지 주소를 확인할 수 있다.

 

[그림 4] 원격지 연결

 

"FakeCop" 은 원활한 악성 동작을 수행하기 위해, 단말기 내에 보안 앱이 설치되어 있는지 확인하고 다음과 같은 패지키 명의 앱이 설치되어 있다면 알림창을 만들어 비활성화하거나 삭제하도록 유도한다.

 

[그림 5] 보안 앱 설치 여부 확인

 

"FakeCop" 악성 앱은 현재까지 특정 국가를 대상으로만 활동을 했기 때문에 국내 사용자들의 직접적인 영향은 없지만, 추가 변종이 나올 가능성이 있어 주의가 필요하다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.