분석 정보/모바일 분석 정보

Aberebot의 변종, Escobar

2022. 3. 21. 17:21

지난 3월 초, Escobar 앱이 등장하였다. 해당 악성 앱은 에뮬레이터를 탐지하고, 저장된 각종 정보를 탈취하며 카메라 사진 촬영 및 녹화 등의 악성 동작을 수행한다. 그 외에도 원격지와 연결하여 명령을 수행하는 Bot 동작 등을 수행한다. 호주 기반의 사이버 보안 회사인 Cyble에 따르면, 해당 앱은 Aberebot의 변종으로 전해지지만 악성 동작 특징 및 코드의 유사점을 찾아보긴 어렵다.

 

최근 유포된 Escobar는 아래의 이미지와 같이, 특정 보안 앱으로 위장하여 유포된다.

 

[그림 1] 앱 아이콘

 

단말기의 시스템 정보를 확인하여, 에뮬레이터를 탐지하고 실 단말기로 판단되면 악성 동작을 수행한다. 각종 권한을 획득하여 다양한 정보를 탈취한다. 아래의 코드는 SMS 메시지 정보를 탈취하는 코드이며, 그 외에도 통화기록, 사진, 파일, 비디오, 단말기의 기본 정보 및 설치된 어플리케이션 등의 정보도 탈취한다.

 

[그림 2] SMS 정보탈취 코드

 

그리고 원격지와 통신하며, Bot의 기능을 수행한다. 아래의 표에서 보이는 것과 같이 명령을 받아 다음 동작을 수행할 수 있다.

 

[표 1] 명령어와 동작

 

위의 악성 동작 중 "Inject a web page" 명령은 원격지에서 URL을 받아온다. 해당 URL은 로드되어 오버레이 동작으로 이어진다. 그 주소는 확인되지 않아 정확한 웹 페이지는 알기 어렵지만, 아래 빨간 상자에 메시지를 띄우는 것으로 보아, 신용카드 정보 입력을 유도하는 것으로 추정된다.

 

[그림 3] 오버레이 코드

 

해당 악성 앱은 단말기의 각종 권한을 획득하여, Bot 기능 등 여러 악성 동작을 수행하기에 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.