분석 정보/모바일 분석 정보

보안 소프트웨어를 위장한 악성 앱

TACHYON & ISARC 2023. 3. 15. 16:12

최근 해외의 보안 소프트웨어의 이름으로 유포된 악성 앱이 발견되었다. 해당 앱은 단말기에서 나타나는 알림을 탐지하여, 수신되는 SMS 문자메시지 및 Gmail 등의 정보를 탈취하고, 단말기에 설치된 애플리케이션의 정보를 탈취한다. 그 외에도 특정 번호로 전화를 거는 등의 동작을 수행한다. 

하단 좌측 그림과 같이 악성 앱은 ‘AVG Antivirus Securite’ 라는 이름으로 유포되었다. 하지만 해당 앱이 실행되면, 하단 우측 그림의 빨간 상자와 같이 ‘Youtube’로 아이콘과 이름이 변경된다.

 

[그림 1] (좌) 악성 앱 정보, (우) 실행 후 앱 변화

 

다음 코드에서 보이는 것과 같이, 악성 앱은 필요한 권한을 획득하기 위해 접근성 노드 정보에 대해 허용의 버튼을 임의로 클릭한다. 그 외에도 사용자의 눈에 띄지 않기 위해서, 알람과 같은 시스템 알림의 소리를 음소거하는 등의 동작을 수행한다. 

 

[그림 2] 접근성 획득

 

일부 접근성을 획득하면, Gmail에 대한 수신자, 제목, 요약문의 정보를 탈취한다. 

[그림 3] Gmail 정보 탈취

 

그리고 설치된 애플리케이션의 목록과 SMS 메시지의 수신처와 내용 정보를 탈취한다. 그 외에도 특정 번호로 전화를 거는 등의 동작을 수행할 수 있다. 

 

[그림 4] 설치된 앱 목록 획득 코드

 

해당 앱은 해외 보안 애플리케이션으로 위장하여, SMS와 같은 각종 정보를 탈취하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.