본문 바로가기

공지사항

이스트시큐리티 소식을 알려드립니다.

보안 솔루션을 가장한 악성 앱 분석

보안공지 2022-06-09



안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

스마트폰 해킹 수법에는 문자를 활용한 스미싱부터 각종 기관을 사칭한 보이스 피싱 그리고 SNS나 채팅을 통한 몸캠 피싱까지 다양한 방법들이 존재합니다. 이로 인한 피해 금액도 심각한 수준이며 수법 또한, 더욱더 정교해지고 있어서 사용자들의 각별한 주의가 요구됩니다.

 

개요


위의 3가지 수법 이외에도 개인이나 특정 사람들을 표적으로 한 공격 방식이 발견되고 있으며 주로 RAT을 통한 방식이 많이 확인되고 있습니다. RATRemote Administration Tool의 약자로 원격 관리 도구입니다. 대부분 오픈소스 소프트웨어이며 빠르게 앱을 만들고 수정하여 원하는 기능을 직접 추가할 수 있다는 장점이 있습니다. 따라서 공격자들은 이미 만들어진 오픈소스를 활용하기도 합니다.


[그림 1] RAT 제어 화면 <이미지 출처 : https://github.com/AhMyth/AhMyth-Android-RAT>


오래전부터 활용된 AhMyth-Android-RAT은 현재까지도 꾸준하게 발견되고 있으며 기능을 공격자가 조금씩 추가하는 방식으로 활용됩니다. 사용자의 정보를 탈취하고 기기를 원하는 대로 제어할 수 있는데 [그림 1]과 같이 카메라, 연락처, 위치, 문자, 전화 등등 다양한 기능을 수행할 수 있습니다. 또한 대상에 따라 원하는 형태로 배포 앱을 위장할 수 있으며 추가 다른 앱과 합쳐서 위장도 가능합니다.


[그림 2] 앱 권한


발견되는 앱들을 살펴보면 다양한 권한들을 요구하면서 여러 가지 앱들로 위장하고 있습니다. 주로 은행들과 대출, 증권, 계약서로 위장하고 있는데 최근 새로운 형태의 이미지를 사용하는 앱을 발견하였습니다.


[그림 3] 앱 실행 화면 및 권한


해당 솔루션은 모회사의 실제 존재하는 솔루션으로 앱에 직접 적용하는 것이지 별도의 APK를 제공하는게 아닌데도 지원을 해주는 것처럼 위장하고 있습니다. 권한을 살펴봐도 [그림 2]와 유사하며 앱 실행 시 해당 이미지를 보여주는 것 이외에 다른 화면은 없습니다.

 

본 분석 보고서에서는 정보 탈취와 기기 제어가 주 목적인 악성 앱 “Trojan.Android.InfoStealer”를 살펴보도록 하겠습니다.

 


코드 분석

 

악성 앱의 주요 행위는 다음과 같습니다.


  • 전화 가로채기
  • 전화 기록 수정
  • 페이크 전화
  • 연락처 수정
  • 카메라 제어
  • 앱 삭제
  • 문자 탈취
  • 연락처 탈취
  • 위치정보 탈취
  • 녹음
  • C2 명령 수행


  • [그림 4] 리소스 불러오기



    앱 실행 시 리소스에 있는 웹 페이지 소스를 가져와 화면에 표시합니다.

     

    [그림 5] 리소스 폴더



    리소스에는 Index.html과 로그를 포함한 이미지 2개 보이스피싱에 활용할 수 있는 은행 안내 멘트 음성 파일이 포함되어 있습니다.


    ​​

    [그림 6] 전화번호 리스트



    추가로 음성파일 이외에 dat 파일이 하나 존재하는데 여러 은행 번호 및 해당 은행의 안내 멘트 mp3를 구분 지어 저장하고 있습니다.


    [그림 7] 전화 제어



    [그림 6]dat 파일을 활용하여 전화를 가로챈 후 화면에 표시되는 번호를 바꾸고 가짜 음성파일을 출력해 피해자를 속일 수 있습니다.

     


    [그림 8] 전화 기록 수정



    전화 기록을 확인하여 특정 기록을 삭제하거나 추가할 수 있습니다.


    [그림 9] 가짜 전화 화면 구성


    가짜 전화는 통화 연결음을 재생하여 실제 통화 중인 것처럼 위장하는데 [그림 9]에서 볼 수 있듯이 이미지들을 불러와서 통화 화면을 그대로 구성하고 있습니다. 특정 기기마다 화면이 다르므로 기종별로 필터링하여 해당 화면을 출력합니다.



    [그림 10] 연락처 수정



    연락처 목록도 삭제하거나 추가해 넣는 것도 가능합니다.


    [그림 11] 카메라 제어



    x0000ca, x0000mc 등등 AhMyth RAT에서 쓰는 명령어 패턴으로 ca는 카메라 제어 명령 mc는 마이크 제어로 확인되며 전면, 후면 카메라 등을 파악한 후 제어할 수 있습니다.



    [그림 12] 앱 삭제



    설치된 앱 리스트들을 볼 수 있으므로 원하는 앱을 삭제할 수도 있습니다.

     

    [그림 13] 위치 정보 확인


    다양한 제어 기능답게 GPS를 통한 위치 정보를 탈취합니다.

    ​​

    [그림 14] 문자 탈취



    문자 목록을 확보하여 탈취할 수 있습니다.

    ​​

    [그림 15] C2 주소


     

    명령을 내리는 C2 주소는 [그림 15]와 같이 표시되어 있는데 이는 base64를 통해 디코딩한 값을 표시하고 있습니다.


    ​​

    [그림 16] 문자열


    [그림 16]처럼 base64로 인코딩한 값을 볼 수 있으며 다양한 포트 번호도 하드코딩되어 있습니다.

     

     

    결론


    [그림 17] 감염자 확인 <이미지 출처 : https://github.com/AhMyth/AhMyth-Android-RAT> 

     

    AhMyth RAT 이외에도 여러 가지 다양한 RAT들이 존재하며 배포되는 앱의 형태 또한, 무궁무진합니다. 위의 샘플처럼 보안 솔루션으로 위장할 수도 있고 게임이나 다른 유틸리티로도 충분히 위장할 수 있습니다. 악성 앱 설치 시 정보를 탈취하고 기기를 장악하여 원하는 대로 컨트롤할 수 있으므로 악성 앱 설치에 대한 예방이 중요합니다.

     

    다음은 악성 앱 공격의 예방 및 대응 방법입니다.

     

    -      악성 앱 예방

            1)    출처가 불분명한 앱은 설치하지 않는다.

            2)    구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.

            3)    SMS나 메일 등으로 보내는 앱은 설치하지 않는다.

     

    -      악성 앱 감염 시 대응

            1)    악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

            2)    악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

            3)    백신 앱이 악성 앱을 탐지하지 못했을 경우

                    A.      백신 앱의 신고하기 기능을 사용하여 신고.

                    B.       수동으로 악성 삭제

     

     

    현재 알약 M에서는 해당 앱을 'Trojan.Android.InfoStealer' 탐지 명으로 진단하고 있습니다.