한국을 대상으로 하는 악성 앱, FakeCalls 가 다량 발견되었다. 해당 악성코드는 은행 앱으로 위장하였으나, 단말기에 저장된 연락처 및 SMS 등을 탈취하는 등의 악성 동작을 수행한다. 또한, FakeCalls를 기본 전화 앱으로 활성화하여 단말기의 전화 기능을 통제한다. CheckPoint에 따르면, 정상 뱅킹 애플리케이션으로 위장하여 사용자를 속이고 대출 관련 보이스 피싱을 통해 최종적으로 사용자의 카드 정보를 탈취하는 것으로 전해진다.
아래의 그림과 같이 정상 은행 애플리케이션의 아이콘을 보여주면서 사용자를 속인다.
해당 앱을 실행하면 하단 좌측의 그림과 같이, 추가적인 설치를 유도하고 권한을 요구한다. 사용자가 해당 권한을 부여하면 악성 동작을 하는 애플리케이션이 설치 및 실행된다.
위의 앱이 설치되면, SMS 메시지 및 연락처, 통화 기록 등의 정보를 탈취한다. 그 외에도 원격지와 통신하여, 녹음 및 스트리밍 등의 악성 동작을 수행한다.
그리고 기본 전화 앱으로 등록을 시도하며, 등록되면 전화 기능을 통제하며 통화 화면을 오버레이한다. 오버레이 동작은 공격자가 만든 화면을 사용자에게 보여지도록 하여, 거기서 획득하는 정보를 탈취하거나 가짜 정보를 띄우는 등의 악성 동작을 수행할 수 있다. 아래 좌측 그림의 단말기에는 중국어로 언어 설정이 되어있으나, 통화를 시작하면 아래 우측 그림과 같이 한국어 설정의 통화 화면이 뜨는 것을 확인 할 수 있다.
해당 앱은 국내를 대상으로 공격을 수행하며, 각종 정보를 탈취하고 보이스 피싱과 같은 추가적인 피해를 발생할 수 있기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
오픈소스 안드로이드 악성코드 DogeRat (0) | 2023.06.15 |
---|---|
인도 뭄바이 은행을 위장한 정보탈취 앱 (0) | 2023.06.07 |
중국에서 유포된 정보탈취형 악성 앱 (0) | 2023.03.29 |
보안 소프트웨어를 위장한 악성 앱 (0) | 2023.03.15 |
소스 코드가 공개된 CypherRAT (0) | 2023.03.10 |