작년 10월경, SpyNote 또는 SpyMax 로 알려진 정보탈취형 안드로이드 악성 앱의 변종인 CypherRAT 의 소스 코드가 Github 에 공개되었다. 소스 코드가 공개되어 CypherRAT 을 활용한 캠페인이 활발짐에 따라 사용자의 주의가 필요하다.
CypherRAT 은 앱을 최초 실행하면 사용자에게 과도한 접근성 서비스 권한을 요청하도록 유도하는 웹뷰를 출력한다. 악성 앱이 요청하는 접근성 서비스 권한에는 행위 모니터링, 제스처 수행, 등이 포함되며 이를 이용하여 정보 탈취, 단말기 조작을 수행할 수 있다.
CypherRAT 은 일반적인 안드로이드 악성 앱과 마찬가지로 통화 내역, SMS, 위치 정보, 연락처, 등의 개인 정보를 수집하는 정보 탈취 기능을 가진다. 또한 카메라, 미디어 관련 API 를 통해 카메라 영상과 단말기 화면 영상을 수집한다.
만약 구글 인증기, 페이스북 관련 앱이 실행 중이면 접근성 서비스 권한을 악용하여 해당 앱의 인증 정보도 수집한다.
유포되는 악성 앱은 은행, 구글 플레이, 페이스북과 같이 사용자에게 친숙한 앱을 사칭하고 있으므로 주의가 필요하다. CypherRAT 은 정보 탈취 기능, 단말기 제어를 위해 실행 시 과도한 접근성 서비스 권한을 요구한다는 점을 이용하여 정상 앱과 구분할 수 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 중국에서 유포된 정보탈취형 악성 앱 (0) | 2023.03.29 |
|---|---|
| 보안 소프트웨어를 위장한 악성 앱 (0) | 2023.03.15 |
| 국내 보안 앱으로 위장한 정보탈취 악성 앱 (0) | 2022.12.01 |
| 카드 정보 탈취하는 은행 사칭 앱 (0) | 2022.11.03 |
| 암호화폐 앱을 사칭한 정보 탈취 앱 (0) | 2022.10.17 |