분석 정보/모바일 분석 정보

SharkBot 악성 앱 주의

알 수 없는 사용자 2021. 11. 30. 09:34

202110월 말, Cleafy TIR 연구원들이 Android 기기의 접근성 기능을 악용하여 영국, 이탈리아, 미국을 대상으로 뱅킹 공격을 시도하는 안드로이드 악성 앱을 발견하였다. 악성 앱의 이름은 APK 파일의 바이너리에서 "Sharked" 라는 단어를 이용한것으로 알려졌으며, "SharkBot" 악성코드가 설치되면 키로깅, SMS 메시지 가로채기, 오버레이 공격, 원격제어 명령을 수행하기 때문에 주의가 필요하다.

 

[그림 1] Sharked 문자열

 

악성 앱이 실행 되면 아래와 같이 사용자에게 접근성 서비스 권한을 활성화하도록 유도한다. 이는 접근성 서비스 기능을 악용하여 사용자의 동의 없이 여러 악성 행위에 사용할 수 있다.

 

[그림 2] SharkBot 설치 / 실행 화면

 

악성 앱이 실행 되면 예물레이터 환경인지 목록을 통해 확인하고, 해당 환경이 아닐 경우에만 앱 아이콘을 숨김 속성으로 실행한다.

 

[그림 3] 실행 후 앱 숨김

 

그후, 원활한 오버레이 공격을 수행하기 위해 사용자의 SMS 정보를 제어하여 문자메시지에 대해 숨김 / 차단 기능을 사용한다. ( 오버레이 공격 : 정상적인 애플리케이션 화면 위에 악성코드가 제공하는 가짜 화면을 출력하여 사용자의 정보를 탈취하는 공격 기법 )

 

[그림 4] SMS 가로채기

 

또한, 악성 앱은 원격지와 연결을 시도하여 다양한 명령들을 수행한다. 악성 명령어들의 구성을 보면 주로 단말기내 데이터베이스 내용을 수정하거나 앱 삭제, 대상 앱 인젝션, 오버레이 공격 등으로 구성된다.

 

[표 1] 명령어 별 기능

 

"SharkBot" 악성 앱은 해외 특정 국가들을 대상으로 공격을 시도하기 때문에 국내 사용자들에게 직접적인 영향은 미비할 것 보이지만, 안드로이드 뱅킹 악성 앱은 꾸준하게 새로운 버전이 발견되기 때문에 경각심을 가질 필요가 있다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.