분석 정보/모바일 분석 정보

ScarCraft의 Chinotto 스파이웨어

2021. 12. 14. 09:27

최근, 북한을 배후로 추정되는 ScarCraft APT그룹의 악성 공격이 발견되었다. 해당 공격에서는 악성 문서, 실행파일, 어플리케이션이 사용되었으며, 그 중 안드로이드 단말기를 대상으로 하는 악성 앱은 Chinotto 스파이웨어라고 불린다. 이 앱은 원격지와 통신하여 단말기의 정보 및 사용자의 문자메시지, 연락처 정보 탈취 등의 동작을 수행한다.

 

Chinotto 스파이웨어를 실행하면 하단 좌측의 이미지에서 보는 것과 같이, 악성 동작을 하기 위해 각종 권한을 획득한다.

 

[그림 1] 권한 획득 화면

 

그리고 백그라운드 모드에서 원격제어 동작을 수행한다. 먼저, 원격지와 연결하여 명령을 받아와 악성 동작을 이어간다. 원격제어 동작은 아래의 표와 같다.

 

[표1] 명령

 

이때, 'UploadInfo' 명령을 받을 때 다음의 정보를 탈취하고, 탈취한 정보는 txt 파일에 저장한다.

 

[표 2] 탈취 정보

 

획득한 정보가 저장된 폴더를 AES 인코딩하여 인코딩한 파일을 원격지로 전송한다.

 

[그림 2] 파일 인코딩 및 전송 코드

 

그리고 'UploadFile' 명령을 수행하면, 각종 폴더에 저장되어있는 파일을 탈취한다. 이때, 카카오톡의 데이터가 저장되어있는 폴더에도 접근하고 있는 것으로 보아 한국을 대상으로 공격을 수행하는 것으로 추정된다.

 

[그림 3] 저장된 폴더 정보 탈취 코드

 

Chinotto 스파이웨어는 단말기의 정보를 탈취하고 사용자가 저장해놓은 파일을 전체적으로 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.