지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다.
최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다.
단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록, 사진, 파일, 비디오, 단말기의 기본 정보 및 설치된 어플리케이션 등의 정보도 탈취한다.
그리고 원격지와 통신하며, Bot의 기능을 수행한다. 아래의 표에서 보이는 것과 같이 명령을 받아 다음 동작을 수행할 수 있다.
위의 악성 동작 중 "Inject a web page" 명령은 원격지에서 URL을 받아온다. 해당 URL은 로드되어 오버레이 동작으로 이어진다. 그 주소는 확인되지 않아 정확한 웹 페이지는 알기 어렵지만, 아래 빨간 상자에 메시지를 띄우는 것으로 보아, 신용카드 정보 입력을 유도하는 것으로 추정된다.
해당 악성 앱은 단말기의 각종 권한을 획득하여, Bot 기능 등 여러 악성 동작을 수행하기에 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 배달 앱 위장한 ERMAC 2.0 (0) | 2022.06.02 |
|---|---|
| VPN으로 위장하여 유포된 악성 앱 (0) | 2022.03.28 |
| 법무부 사칭한 악성 앱 주의 (0) | 2022.03.03 |
| CapraRAT 악성 앱 주의 (0) | 2022.02.25 |
| 교통민원 24(이파인) 으로 위장한 악성 앱 주의 (0) | 2022.02.16 |