최근, "Video Player.apk"라는 이름으로 악성 원격제어 앱이 발견되었다. 해당 앱은 원격지와 연결하여 파일을 다운로드하거나 단말기의 정보 및 등을 탈취한다. 그리고 추가적인 원격제어 동작 여부를 설정하고 원격지에서 받아온 데이터를 통해 특정 번호로 문자메시지를 전송하거나, 전화를 할 수도 있다. 해당 앱은 스토어에서 판매되지는 않지만, 웹 페이지 등 그 외의 경로로 배포된 것으로 추정된다.
ExpndBot 은 하단 좌측 이미지와 같이 영상 재생 앱을 위장하고 있으며, 실행하면 앱 활성화를 유도한다.
앱이 처음 실행될 때, 해당 앱이 백그라운드 모드에서 악성동작하는 것을 사용자가 눈치채지 못하도록 모든 소리를 음소거하고 화면을 잠근다.
원격지와 연결되면 아래의 명령을 수행한다. 만약 원격지와 정상적으로 연결되지 않는다면 원격제어 동작은 중단된다.
그리고 원격지로부터 'run_cmd' 명령을 받으면, 함께 전송 받은 정보를 통해 아래의 표와 같이 추가적인 악성동작을 수행할 수 있다.
ExpndBot은 단말기의 OS 버전을 확인하여 권한을 획득하고, 원격지와 연결하여 추가적인 악성 동작이 발생할 수 있어 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 금전적 요구를 하는 ScreenLocker (0) | 2021.12.15 |
|---|---|
| ScarCraft의 Chinotto 스파이웨어 (0) | 2021.12.14 |
| SharkBot 악성 앱 주의 (0) | 2021.11.30 |
| 악성 원격제어 앱, PhoneSpy 등장 (0) | 2021.11.18 |
| FakeCop 악성 앱 주의 (0) | 2021.11.17 |