분석 정보/모바일 분석 정보

VPN으로 위장하여 유포된 악성 앱

2022. 3. 28. 16:53

최근 정상 VPN으로 위장한 악성 앱이 유포되었다. 해당 앱은 Hydra VPN SDK 오픈소스를 사용하여 정상적인 VPN의 동작을 수행하여 사용자를 속이고, SMS 메시지와 연락처 등 각종 데이터를 탈취하는 악성 동작을 수행한다.

 

해당 앱은 아래의 화면과 같이 VPN 서비스 업체의 웹 사이트로 위장하여 악성 앱을 유포한다. 해당 웹 사이트의 주소는 정상 서비스 중인 한 VPN 업체의 주소와 유사하다.

 

[그림 1] 앱 다운로드

 

이 앱은 Hydra VPN SDK 오픈 소스를 통해 VPN 서버 URL에 연결한다. 연결된 서버에 위치 정보 및 시그니처 등 기본 정보를 전송한다.

 

[그림 2] VPN 서버 연결

 

앱이 실행되면 아래의 화면과 같이 'Activation Key'를 입력하도록 요구한다. 이 'Activation Key'는 원격지 서버에 연결하여 토큰 등의 정보를 통해 확인되는 key 값으로, 분석 시점에는 해당 원격지 서버와의 연결이 되지 않는다.

 

[그림 3] Activation Key 입력 화면

 

그리고 단말기의 시스템 정보를 통해 에뮬레이터를 탐지한다.

 

[그림 4] 에뮬레이터 탐지 코드

 

위의 에뮬레이터 탐지 코드 실행이 후, 실 단말기로 확인되면 문자메시지, 연락처, 통화 기록의 정보를 탈취한다. 아래의 코드는 연락처 정보를 탈취하는 코드로, 'ContactsContract.Contacts.CONTENT_URI'에 새로운 연락처가 추가되는 것이 탐지되면 전화번호와 이름을 탈취한다. 그 외에도 수/발신 문자메시지와 통화 기록에서 새로운 데이터가 탐지되면 해당 정보를 탈취한다.

 

[그림 5] 연락처 정보 탈취 코드

 

해당 악성 앱은 정상 VPN 서비스 제공 업체로 위장하여 악성 앱을 유포하여, 사용자를 속여 각종 정보를 탈취하기에 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.