분석 정보/모바일 분석 정보

한국 대상으로 정보탈취 앱 유포

2022. 1. 21. 16:37

최근, 안드로이드 단말기를 대상으로 하는 정보탈취 앱이 발견되었다. 이 앱은 알림 화면 등에서 한국어를 사용하여 한국인을 대상으로 공격을 시도하는 것으로 추정되며, 단말기에 저장된 문자메시지를 비롯하여 연락처, 이미지 정보를 탈취한다.

 

해당 앱은 앱스토어와 같이 일반적인 설치 경로가 아닌, 웹 페이지를 통해 유포된 것으로 전해진다. 아래의 이미지와 같이 다운로드 서버에 연결하면 악성 앱이 다운로드된다. 현 시점에는 해당 서버에 연결되지 않는다.

 

 [그림 1] 다운로드 화면

 

앱을 실행하면, 아래의 그림과 같이 악성 동작에 필요한 각종 권한을 요구한다.

 

[그림 2] 권한 요구 화면

 

권한을 획득한 다음, 앱에서 서버 점검중이라는 화면을 띄우지만, 정보탈취 동작을 수행한다.

 

[그림 3] 서버 점검 화면

 

연락처 정보 중에서 고유 ID, 연락처 이름, 전화번호, 별명 정보를 획득하여 원격지에 전송하고, DB 파일을 생성하여 저장한다.

 

 [그림 4] 연락처 정보 탈취 코드

 

위의 연락처 정보 탈취 동작과 동일하게 SMS 메시지 정보와 이미지 파일 정보를 탈취한다. 문자메시지 정보에서는 이름, 날짜, 전화번호, 문자메시지 내용, 메시지 타입 정보를 획득하고, 이미지 파일 정보에서는 외부저장소에 저장된 이미지 파일의 경로 및 날짜 정보를 획득한다.

 

 [그림 5] SMS 정보 탈취 코드

 

해당 악성 앱은 한국인을 대상으로 정보 탈취 동작을 수행하며, 비정상적인 경로로 유포되었기에 사용자로 하여금 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.