분석 정보/모바일 분석 정보

업무용 메신저 사칭 앱 유포

2022. 7. 11. 17:38

최근 Microsoft의 비즈니스 커뮤니케이션 플랫폼인 Teams를 사칭한 악성 앱이 유포되었다. 해당 앱은 Microsoft의 로그인 화면을 띄워 정상적으로 동작하는 것처럼 보이지만, 사용자 몰래 원격지와 통신하여 추가적인 악성 동작을 수행한다.

 

아래의 그림과 같이 악성 앱과 정상 앱의 아이콘에 차이가 있다. 악성 앱에서 사용된 아이콘은 과거에 사용하던 아이콘으로, 정상 앱을 최신 버전으로 다운로드하면 우측 이미지의 아이콘으로 다운로드가 된다.

 

[그림 1] (좌) 악성 앱 아이콘, (우) 정상 앱 아이콘

 

사용자를 속이기 위해, 앱을 실행하면 아래와 같이 로그인 화면을 띄우고 정상적인 앱인 척 한다.  

 

[그림 2] 앱 실행화면

 

또한, 사용자 몰래 아래의 메소드를 백그라운드 모드로 실행한다. 해당 클래스는 원격지와 통신하여 추가 파일을 다운로드하고 로드하는 등의 동작을 수행한다.

 

[그림 3] 악성 동작 메소드

 

해당 악성 앱은 사용자가 많은 정상 앱과 유사한 모습을 하지만, 원격지와 통신하여 추가적인 악성 동작을 수행할 수 있기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.