분석 정보/모바일 분석 정보

배달 앱 위장한 ERMAC 2.0

2022. 6. 2. 17:50

최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다.

 

[그림 1] 해킹포럼

 

ERMAC 2.0‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다.  

 

[그림 2] (좌) 정상 앱, (우) 사칭 앱

 

해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다.

 

[그림 3] 접근성 권한 요구

 

단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다.

 

[그림 4] 백신 탐지 코드

 

정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림, 클립보드, 문자메시지 등의 정보를 탈취한다. 그리고 원격지와 연결하여 난독화된 정보를 송수신한다.

 

[그림 5] 패킷

 

ERMAC 2.0은 배달 앱을 위장하여 유포되어, 단말기의 각종 정보를 탈취하고 현 시점에도 연결되는 원격지와 연결을 유지하고 있어 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.