최근, 단말기의 각종 정보를 탈취하고 원격 제어 동작을 수행하는 안드로이드 악성 애플리케이션이 발견되었다. 해당 앱은 Instagram을 위장하여 유포되었으며, 오픈소스인 Firebase Realtime Database를 악용하여 원격지와 통신하며 악성 동작을 수행한다.
해당 앱을 실행하면 좌측 하단의 그림과 같이 정상 Instagram 애플리케이션을 설치 및 실행하도록 한다. 로그인 버튼을 클릭하면, 정상 Instagram 로그인 페이지를 띄우면서 사용자를 속인다.
악성동작이 실행되기 위해, 아래의 그림과 같이 접근성 및 알림창 접근, admin의 권한을 요구한다.
이때, Admin 권한을 획득했다가 Disable 요청 이벤트가 발생되면 사용자 단말기 잠금 암호를 1234로 설정하고 Lock 해버린다. 분석 환경에서는 하단 우측 그림과 같이 에러가 발생하여 정상적으로 동작하지 않는다.
각종 권한을 획득했다면, 원격지를 통해 원격제어 동작을 수행한다. 공격자가 원격지로 생성한 Firebase DB에서 공격자가 지정한 경로에 대한 참조의 이벤트 리스너를 통해 데이터 변경 이벤트가 발생하면, 이벤트에 명령을 확인하여 다음의 동작을 수행한다.
위의 명령 외에도 다음의 명령을 수행할 수 있다.
해당 악성 앱은 인기있는 SNS인 Instagram을 위장하여 사용자를 속이고, 단말기를 제어할 수 있는 다양한 명령을 수행하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
데이팅 앱을 위장한 Arid Viper의 공격 (0) | 2023.11.10 |
---|---|
FluHorse (0) | 2023.08.02 |
Gravity RAT (0) | 2023.07.03 |
국내 메일 앱을 위장한 정보탈취 악성 앱 (0) | 2023.06.22 |
오픈소스 안드로이드 악성코드 DogeRat (0) | 2023.06.15 |