암호화폐에 대한 관심이 높아지는 만큼 암호화폐 관련 앱을 위장한 악성 앱이 다양한 방식으로 유포된다. 최근에 암호화폐의 가격 및 뉴스 등을 알려주는 암호화폐 포트폴리오 트래커(Crypto Portfolio Tracker) 앱을 위장한 악성 코드 MaliBot이 등장하였다. 해당 악성코드는 안드로이드 단말기를 대상으로 하여, 웹사이트 및 SMS 등으로 유포되었다. 해당 앱을 실행하면, 단말기에 저장된 각종 정보를 탈취하고 원격제어 등의 악성 동작을 수행한다.
MaliBot은 아래 그림과 같이 정상 사이트를 위장하여 안드로이드 단말기에서 접속하면 악성 앱을 다운로드하도록 한다.
웹페이지를 랜더링하는 장치 정보를 확인하여 AndroidOS인 경우 ‘cryptoapp.apk’를 다운로드하고, iOS또는 그 외의 장치의 경우에는 구글 플레이에서 판매중인 정상 앱을 다운로드한다.
원격지에 연결되면, 버전 정보, 단말기 모델, 배터리, 언어, 설치된 패키지 리스트 등의 정보를 탈취한다.
그리고 리시버를 통해 SMS 메시지 정보를 탈취한다. 메시지 내용과 발신 주소를 획득하여 URL 인코딩하여 원격지에 전송한다. 그 외에 문자메시지를 전송하는 등의 악성 동작을 수행할 수 있다.
정상 웹사이트를 위장하여 유포된 Mali Bot은 원격지와 연결하여 추가적인 악성 동작이 이루어질 수 있기에 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 책으로 위장한 악성 앱 유포 (0) | 2022.09.06 |
|---|---|
| 업무용 메신저 사칭 앱 유포 (0) | 2022.07.11 |
| Google Play에서 판매중인 악성 앱 (0) | 2022.06.17 |
| 배달 앱 위장한 ERMAC 2.0 (0) | 2022.06.02 |
| VPN으로 위장하여 유포된 악성 앱 (0) | 2022.03.28 |