분석 정보/모바일 분석 정보

국내 보안 앱으로 위장한 정보탈취 악성 앱

TACHYON & ISARC 2022. 12. 1. 10:39

최근 한 보안프로그램을 위장한 악성 앱이 발견되었다. 해당 앱은 정상적으로 동작하는 척하지만, 특정 버튼을 누르면 내부에 존재하는 파일을 실행하여 악의적인 동작을 수행한다. 백도어와 같이 원격지와 연결하여 명령을 받아 추가적인 동작을 수행하며, 그 외에 문자메시지와 통화 기록과 같은 각종 정보를 탈취한다. 

11월 24일 업데이트 버전의 정상 앱은 아래의 좌측 그림과 같고, 발견된 사칭 악성 앱은 우측 그림과 같다. 사칭한 악성 앱은 과거의 UI를 따라한 것으로 추정된다. 

 

[그림 1] (좌) 정상 앱, (우) 악성 앱

 

해당 앱은 실제로 동작하지 않고, HTML 파일을 통해 동작하는 것처럼 위장하였다. 그리고, 특정 버튼을 누르면 APK 내부에 숨겨진 APK 파일을 로드하여 악성 동작을 실행한다. 

 

[그림 2] 설치 과정

 

아래 좌측 그림과 같이 앱이 설치되었지만, 사용자가 보는 화면에서는 보이지가 않도록 설정하여 일반 사용자가 설치된 사실을 눈치채지 못하도록 한다.

 

[그림 3] (좌) 앱 리스트, (우) 앱 화면

 

그리고 원격지와 통신하여 다음의 악성 동작을 수행한다. 

 

[표 1] 원격제어 명령

 

그 외에도 수신되는 문자메시지를 확인하여 해당 정보를 탈취하고, 수•발신 전화의 정보를 탈취하는 등의 동작을 수행한다. 해당 정보 탈취 동작은 아래의 우측 코드에서 보는 것과 같이, 원격지에서 관련 동작을 수행할지 할 것인지 않을 것인지에 대한 값을 받아오면 진행된다. 

 

[그림 4] 수•발신 전화 정보 탈취 코드

 

해당 앱은 정상 보안 앱을 위장하여 사용자를 속이며, 원격제어 및 각종 정보를 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.