분석 정보/모바일 분석 정보

데이팅 앱을 위장한 Arid Viper의 공격

TACHYON & ISARC 2023. 11. 10. 16:20

Arid Viper 그룹의 Android 사용자를 표적으로 하는 공격이 발견되었다. Cisco Talos에 따르면 해당 캠페인은 작년 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장하여, 정보 탈취 및 악성 코드 다운로드 등의 악성 동작을 수행한다.

 

아래의 실행 화면은 ‘Skipped’ 이름으로 유포된 악성코드이다.

 

[그림 1] 앱 실행화면

 

해당 앱은 악성 동작을 수행하기 위해, 여러가지 권한을 획득한다. 단말기의 종류 및 모델에 따라 일부 차이가 있으나, 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 취소한다.

 

[그림 2] (좌) 접근성 권한 획득 화면, (우) 알림 권한 획득 화면

 

그리고 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행한다.

 

[그림 3] 자동 실행 설정 화면

 

그리고 아래의 악성동작을 수행한다.

[표 1] 악성동작 목록

 

해당 앱은 수개월간 발생한 APT 공격으로 변종이 나타나거나 추가적인 악성 동작이 발생할 수 있으므로 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.