최근 한 배달 서비스 앱을 위장한 악성코드가 유포되었다. 이는 작년 7월에 처음 모습을 드러낸 ERMAC의 업그레이드인 ERMAC 2.0으로 뱅킹, 정보 탈취, 원격제어 등의 동작을 수행한다. 해당 악성코드는 최근에도 해킹 포럼에서 판매중인 것으로 전해진다.
ERMAC 2.0은 ‘Bolt Food’라는 배달 플랫폼 앱을 위장하였으며, 정상 사이트와 유사한 도메인의 웹 사이트에서 유포되었다. 유포된 앱은 정상 앱의 아이콘과 동일하여 사용자를 속인다.
해당 앱을 실행하면 아래의 빨간 상자와 같이 권한을 요구하는 알림을 띄우고, 권한을 획득하고 나면 바로 악성동작을 시작한다.
단말기에서 가상 환경 및 안티 바이러스 백신을 탐지한다.
정상 단말기로 판단되면 음소거 설정을 하고, Gmail 정보 및 PUSH 알림, 클립보드, 문자메시지 등의 정보를 탈취한다. 그리고 원격지와 연결하여 난독화된 정보를 송수신한다.
ERMAC 2.0은 배달 앱을 위장하여 유포되어, 단말기의 각종 정보를 탈취하고 현 시점에도 연결되는 원격지와 연결을 유지하고 있어 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 암호화폐 트래커 사칭 앱, MaliBot (0) | 2022.06.22 |
|---|---|
| Google Play에서 판매중인 악성 앱 (0) | 2022.06.17 |
| VPN으로 위장하여 유포된 악성 앱 (0) | 2022.03.28 |
| Aberebot의 변종, Escobar (0) | 2022.03.21 |
| 법무부 사칭한 악성 앱 주의 (0) | 2022.03.03 |