최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다.
“SpyLoan” 앱은 먼저 전화번호 인증을 이용해 사용자 등록 및 로그인을 요청하며, 미리 설정된 국가 번호는 대상 국가를 특정하고 있음을 알 수 있다. 로그인에 성공하면, 데이터를 수집하기 위해 과도한 권한을 요청한다.
이후, 대출에 필요한 과정인 것처럼 사용자를 속여 연락처, 신분증 및 은행 정보 등 민감한 정보를 입력하도록 유도한다.
사용자가 입력한 개인 및 금융 정보는 수집 후 공격자의 서버로 전송되며, [그림 3]은 정보 수집의 예로 은행 및 카드 정보가 해시맵 형태로 저장되는 것을 확인할 수 있다.
또한, [그림 1]에서 요청한 권한을 이용해 감염된 디바이스에서 [표 1]의 정보를 수집한다.
수집한 디바이스 정보는 로컬 저장소에 .txt 파일로 저장된다.
저장된 파일은 서버로 전송되기 전 탐지 회피를 목적으로 [그림 5]와 같이 암호화된다.
[그림 6]에서 암호화된 데이터가 공격자의 서버로 전송되는 것을 확인할 수 있다.
“SpyLoan”은 구글 플레이 스토어에서 배포되며, 사용자의 심리와 동기를 이용해 개인 및 금융 정보를 입력하도록 유도하기 때문에 주의가 필요하다. 따라서, 공식 출처를 이용하더라도 해당 앱의 리뷰 또는 개인 정보 보호 정책을 확인하고, 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| 디지털 인증서를 탈취하는 SoumniBot (0) | 2024.05.16 |
|---|---|
| 메신저 앱에서 정보를 탈취하는 VajraSpy (0) | 2024.02.16 |
| 지역 뉴스 앱으로 위장한 Kamran 스파이웨어 (0) | 2023.12.06 |
| 데이팅 앱을 위장한 Arid Viper의 공격 (0) | 2023.11.10 |
| FluHorse (0) | 2023.08.02 |