최근, 북한을 배후로 추정되는 ScarCraft APT그룹의 악성 공격이 발견되었다. 해당 공격에서는 악성 문서, 실행파일, 어플리케이션이 사용되었으며, 그 중 안드로이드 단말기를 대상으로 하는 악성 앱은 Chinotto 스파이웨어라고 불린다. 이 앱은 원격지와 통신하여 단말기의 정보 및 사용자의 문자메시지, 연락처 정보 탈취 등의 동작을 수행한다.
Chinotto 스파이웨어를 실행하면 하단 좌측의 이미지에서 보는 것과 같이, 악성 동작을 하기 위해 각종 권한을 획득한다.
그리고 백그라운드 모드에서 원격제어 동작을 수행한다. 먼저, 원격지와 연결하여 명령을 받아와 악성 동작을 이어간다. 원격제어 동작은 아래의 표와 같다.
이때, 'UploadInfo' 명령을 받을 때 다음의 정보를 탈취하고, 탈취한 정보는 txt 파일에 저장한다.
획득한 정보가 저장된 폴더를 AES 인코딩하여 인코딩한 파일을 원격지로 전송한다.
그리고 'UploadFile' 명령을 수행하면, 각종 폴더에 저장되어있는 파일을 탈취한다. 이때, 카카오톡의 데이터가 저장되어있는 폴더에도 접근하고 있는 것으로 보아 한국을 대상으로 공격을 수행하는 것으로 추정된다.
Chinotto 스파이웨어는 단말기의 정보를 탈취하고 사용자가 저장해놓은 파일을 전체적으로 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
메신저 앱을 위장한 악성 앱 (0) | 2022.01.18 |
---|---|
금전적 요구를 하는 ScreenLocker (0) | 2021.12.15 |
원격제어 악성 앱, ExpndBot (0) | 2021.12.03 |
SharkBot 악성 앱 주의 (0) | 2021.11.30 |
악성 원격제어 앱, PhoneSpy 등장 (0) | 2021.11.18 |