분석 정보/모바일 분석 정보

국내 메일 앱을 위장한 정보탈취 악성 앱

TACHYON & ISARC 2023. 6. 22. 09:40

국내 포털 사이트에서 제공하는 웹 메일 서비스 애플리케이션을 위장한 악성 앱이 등장하였다. 해당 악성 앱은 사용자를 속이기 위해 정상적인 메일 서비스를 제공하면서, 백그라운드 모드에서 악성 동작을 수행한다. 피해자의 단말기 정보를 비롯하여 SMS 메시지, 통화 기록 등의 정보를 탈취한다.

 

악성 앱은 아래의 그림과 같이, 정상 애플리케이션과 동일한 모습을 하고 있다.

 

[그림 1] (좌) 아이콘, (우) 실행 화면

 

하지만 해당 앱은 악성동작을 수행하기 위해, 접근성 권한 및 인터넷, 문자메시지, 오디오 등과 같은 과도한 권한을 요구한다.

 

[그림 2] 권한 요구 화면

 

권한을 획득하면 SMS 메시지 및 단말기 정보, 통화 기록 등을 탈취한다. 그리고 아래의 그림과 같이, 통화를 녹취하고 원격지로 전송하는 동작을 수행한다. 이는 전화가 활성화 중이거나, 대기 중이거나, 전화를 걸고 있는 상태일 때, 단말기의 MIC를 녹음하여 통화 내용을 탈취한다.

 

[그림 3] 녹취 파일 생성 코드

 

그리고, 스크린 샷 캡처 이미지를 탈취한다. 단말기의 화면을 캡처하여 생성된 스크린 샷을 안드로이드 오픈소스 VNC 를 사용하여 원격지로 전송한다.

 

[그림 4] 스크린샷 생성 및 전송 코드

 

또한, 해당 악성 앱은 원격지와 연결을 지속하면서 다음의 원격제어 동작을 수행할 수 있다.

 

[표 1] 원격제어 명령

 

국내 웹 이메일 서비스를 위장한 악성 앱은 정상적인 동작과 악성 동작이 함께 수행되기 때문에 사용자에게 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.