본문 바로가기
분석 정보/모바일 분석 정보

SMS를 이용해 악성 링크를 전파하는 ClayRat

by TACHYON & ISARC 2025. 10. 28.

최근 WhatsApp, TikTok Youtube 등의 인기 앱으로 위장한 악성 안드로이드 앱 ClayRat이 발견됐다. 해당 악성 앱은 실제 정상적인 홈페이지 화면을 모방한 가짜 사이트를 이용해 유포되며 사이트에서 APK 파일을 호스팅하거나 방문자를 연결된 텔레그램 채널로 리디렉션한다. 텔레그램 채널에서는 댓글, 다운로드 수 및 사용 후기 등을 허위로 게시해 사용자를 속이고 앱의 다운로드 및 설치를 유도한다. 다운로드 및 설치된 ClayRat은 감염된 장치에서 통화 기록, 알림 및 설치된 앱 목록 등을 수집해 공격자가 운영하는 C&C 서버로 유출하고 연락처에 저장된 번호로 SMS 메시지를 전송해 악성 링크를 전파한다. 외신에 따르면 지난 3개월 동안 약 600개 이상의 ClayRat 샘플과 50개 이상의 드로퍼가 관찰된 것으로 전해진다.

 

텔레그램 또는 피싱 사이트에서 다운로드한 파일은 드로퍼 앱으로 실제 악성 동작을 수행하는 ClayRat APK 파일을 복호화 및 설치해 구글의 보호 기능을 우회하고 가짜 플레이 스토어 업데이트 화면으로 정상적인 업데이트 과정인 것처럼 사용자를 속인다.

 

[그림 1] 가짜 플레이 스토어 업데이트 화면

 

드로퍼는 앱 내의 assets 폴더에 .enc 확장자를 가진 파일 형태로 암호화된 ClayRat APK 데이터를 저장하고 있으며 파일의 가장 앞 부분에는 복호화에 사용될 16 바이트 길이의 IV(Initial Vector)를 포함하고 있다. 드로퍼는 해당 IV 값과 함께 앱 내에 하드코딩된 문자열의 해시값을 AES 비밀키로 사용해 ClayRat APK 데이터를 복호화하고 드롭한다. 이후 PackageInstaller 클래스를 이용해 생성한 앱 설치 세션에 드롭된 APK 데이터를 쓰고 commit 메서드를 호출해 앱을 설치한다.

-       드롭 경로 : /data/data/{드로퍼 패키지 이름}/cache/

 

[그림 2] PackageInstaller를 이용한 앱 설치 코드

 

ClayRat이 설치 및 실행되면 먼저 HTTP를 이용해 공격자가 운영하는 C&C 서버에 연결하고 사용자의 장치를 서버에 등록한다. 이후 서버로부터 명령어를 수신받아 정보 수집, SMS 메시지 전송 및 사진 촬영 등을 포함한 [ 1]의 악성 동작을 수행하며 각각의 수집된 정보와 수행된 작업에 대한 로그는 JSON 형태로 저장돼 각 동작의 마지막에 서버로 전송한다.

 

[표 1] 서버 명령어 목록

 

서버 명령어 중 make_call을 수신하면 먼저 전화와 관련된 권한이 허용돼 있는지 확인한 후 함께 전송된 전화번호로 전화를 연결한다. 전화 연결은 intent 객체에 ACTION_CALL 작업을 지정하고 대상 전화번호를 인자로 전달해 수행할 수 있으며 권한이 없으면 취소된다.

 

[그림 3] 전화 연결 코드

 

명령어 messsms의 경우 수신받은 데이터에서 링크 정보를 추출한 후 SMS 메시지를 이용해 연락처에 저장된 모든 번호로 해당 링크를 전파한다. 마찬가지로 먼저 SMS와 연락처에 대한 접근 권한을 확인하고 SmsManager 클래스의 sendMultipartTextMessage 메서드를 이용해 악성 링크가 포함된 메시지를 전송한다.

 

[그림 4] 악성 링크 전파 코드

 

C&C 서버와 통신하는 과정에서 전송되는 명령어나 수집된 정보는 AES 암호화한 후 Base64로 인코딩해 탐지 및 분석을 방지하며 분석 시점에서 장치 등록 요청을 보낸 후 C&C 서버가 응답하지 않아 서버 명령어에 따른 실제 동작은 확인되지 않았다.

 

[그림 5] C&C 서버 연결 결과

 

ClayRat은 실제 홈페이지를 모방한 가짜 사이트에서 다양한 인기 앱으로 위장해 유포되며 허위로 작성된 별점과 사용 후기 등을 이용해 사용자들이 의심없이 앱을 다운로드하도록 유도한다. 또한 드로퍼를 이용한 설치 방법으로 구글의 보호 조치를 우회할 수 있으며 감염된 장치의 연락처에 저장된 전화번호를 대상으로 악성 링크를 전파해 주의가 필요하다. 따라서 공식 스토어가 아닌 외부 출처에서의 앱 설치를 지양하고 주기적으로 백신과 OS를 최신버전으로 업데이트 할 것을 권고한다.

 

 

 

저작자표시 비영리 변경금지 (새창열림)

'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글

지도 앱으로 위장한 Origin 스파이웨어  (0) 2025.05.30
Dynamic Dex Loading을 이용하는 TrickMo  (1) 2024.12.30
구글 플레이 업데이트로 위장한 Antidot  (2) 2024.07.25
디지털 인증서를 탈취하는 SoumniBot  (0) 2024.05.16
메신저 앱에서 정보를 탈취하는 VajraSpy  (0) 2024.02.16

관련글

티스토리툴바