암호화폐 앱을 사칭한 정보 탈취 앱

암호화폐 앱을 사칭한 정보 탈취 앱
미국의 유명 암호화폐 회사인 Coinbase를 사칭한 악성 앱이 발견되었다. 해당 앱은 ‘CoinbaseUpdate’라는 이름으로 유포되었으며, 정상 Coinbase 앱과 유사한 모습을 하고 있다. 하지만 악성 앱을 실행하면, 단말기의 문자 메시지와 스크린샷 등 각종 정보를 탈취한다. 
좌측 하단의 그림은 Google Play에서 정상적으로 판매중인 Coinbase 앱이고, 우측의 그림은 유포된 악성 앱의 정보로 아이콘과 이름이 유사한 것을 볼 수 있다. 

[그림 1] (좌) 정상 앱 정보, (우) 악성 앱 정보

 

악성 앱을 실행하면, 아래와 같이 권한을 요구한다. 사용자가 해당 권한을 부여하면 이후 필요한 권한에 대해서는 악성 앱에서 화면을 제어하여 자체적으로 획득한다. 

[그림 2] 권한 요구 화면

 

아래의 그림과 같이 원격지와 연결을 시도한다. 

[그림 3] 원격지 연결 코드

 

‘Google’이름의 알림 창을 띄워 사용자를 속이고, 사용자 단말기 화면을 캡처한다. 그 외에도 수신 문자 메시지를 탈취하거나 단말기의 암호 및 핀 번호를 탈취하는 등의 악성 동작을 수행한다. 

 

[그림 4] 화면 캡처 코드

해당 악성 앱은 정상 판매중인 암호화폐 앱을 위장하여 유포되었으며, 단말기의 각종 권한을 획득해 정보를 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.