분석 정보/모바일 분석 정보

악성 원격제어 앱, PhoneSpy 등장

최근 PhoneSpy 원격제어 악성 앱이 새롭게 등장하였다. 해당 앱은 요가 교육 앱, 사진 정리 앱과 같이 라이프스타일 앱을 사칭하였으며, 소셜 네트워크나 악성 웹 사이트 리디렉션 등의 방식으로 유포된 것으로 추정된다. 만일 사용자가 정상 앱으로 착각하여 PhoneSpy 앱을 실행하면, 수신 및 발신되는 연락처, 문자 메시지 등 각종 정보가 탈취된다. 그리고 원격지에서 명령을 받아와 카메라 사진 및 동영상 촬영의 동작도 수행할 수 있다.

 

다음은 "Daily Yoga" 이름으로 유포된 PhoneSpy 앱으로 실행하면 각종 권한을 요구한다.

 

[그림 1] (좌) 앱 정보, (우) 권한 요구

 

단말기에서 최초로 실행할 때, 아이콘을 숨김 모드로 설정을 한다. 이는 홈 화면에서 해당 앱이 보이지 않기 때문에 사용자가 눈치채지 못한 상태에서 지속성을 유지할 수 있다.

 

[그림 2] 숨김 설정 코드

 

단말기에서 문자메시지 수신, 전화 수/발신 등의 동작이 확인되면 관련 정보를 획득하여 원격지에 전송한다.

 

[그림 3] 정보 탈취

 

위에서 획득한 정보를 기반으로, C&C에서 명령을 전달 받아 아래의 표에서 보이는 원격제어 동작을 수행한다. 이 앱은 일반적인 원격제어 악성 앱들과 같이 각종 정보를 전송하고 변형하면서, 카메라에도 접근하여 영상이나 사진을 촬영하기도 한다. 그리고 실시간 영상 및 음성 참여 플랫폼의 클래스를 이용하여, 카메라 화면을 실시간으로 전송할 수 있다.

 

[표 1] 원격제어 명령

 

해당 악성 앱은 정상 앱으로 위장하여 원격제어 동작을 수행하고, 파일 다운로드 및 특정 URL 연결 등의 동작을 하기에 추가적인 악성 피해가 발생할 수 있어 더욱 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.

 

 

 

댓글

댓글쓰기