분석 정보/모바일 분석 정보

중국에서 유포된 정보탈취형 악성 앱

TACHYON & ISARC 2023. 3. 29. 16:30

최근 중국에서 유포된 것으로 보이는 정보탈취 앱이 발견되었다. 이 악성 앱은 중국에서 제작 및 판매되는 한 프레임워크를 사용하여 제작되었으며, 앱의 언어 또한 중국어로 설정되어있다. 해당 악성코드는 쇼핑 앱으로 위장하였으며, 문자메시지를 탈취하고 원격지와 통신하여 추가적인 다운로드 동작을 수행한다. 

해당 앱은 아래의 그림과 같이 웹사이트를 통해 유포되었으며, 설치 버튼을 누르면 애플리케이션이 다운로드 된다. 

 

[그림 1] 유포 경로

 

문자메시지 수신 동작이 확인되면, 문자메시지 내용과, 수신지, 날짜, 앱의 버전, 안드로이드 id 등의 정보를 탈취하여 원격지로 전송한다. 

 

[그림 2] SMS 수신 메시지 정보 탈취 코드

 

그리고 원격지와 연결하여 애플리케이션을 설치한다. 해당 앱은 외부저장소의 ‘/dcloud_ad/apk/[시스템 시간].apk’ 경로에 저장된다. 현 분석 시점에는 원격지와 연결되지 않아 설치되는 앱의 정보 확인이 불가하다. 

 

[그림 3] 다운로드 코드

 

그 외에도 Firebase를 통해 원격지와 통신하는 등의 동작을 수행한다. 

 

[그림 4] Firebase 연결 코드

 

해당 앱은 SMS 메시지 및 단말기 정보를 탈취할 뿐 아니라, 원격지와 통신하여 다운로드와 같은 추가적인 악성 행위를 수행하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.