[Trojan.Android.Agent] 악성코드 분석 보고서
스파이웨어는 피해자의 사생활을 면밀하게 감시하며 민감한 정보를 탈취하는 특징이 있습니다. 모바일 기기 사용환경이 실 생활에 매우 밀착되어 있기에 공격자들은 다양한 정보 획득 수단으로 스파이웨어를 활용하는 것입니다.
공격자들은 피해자들의 모바일 기기에 악성 앱을 설치하기 위해 피해자들이 선호하는 앱으로 위장하여 악성 앱을 유포하고 있습니다. 그리고 이렇게 수집한 정보들을 활용하여 금전 탈취 등의 수익활동을 하는 것입니다.
최근 발견된 이 악성 앱은 중동 국가를 대상으로 제작된 악성 앱으로 보이며 피해자의 개인 정보 탈취 등을 위한 스파이행위를 위해 제작되었습니다.
악성 앱은 “TextMe”라는 앱으로 위장하고 있으며 정상 앱은 40개국 정도에서 서비스 되고 있는 앱으로 무료 SMS와 통화 기능을 제공하는 앱입니다. 악성 앱은 이렇게 피해자들이 선호하는 앱으로 위장하여 자신들의 유포 사이트를 통해 악성 앱을 유포합니다.
Spyware.Android.Agent는 공식 마켓인 플레이스토어를 통해 설치되는 앱이 아닌 공격자가 제공하는 서버를 통해 설치가 이루어집니다. 대부분의 피해자들은 유료나 특정 기능이 필요해 크랙 버전의 앱을 설치하는 것으로 착각하여 이런 악성 앱들을 설치하게 된다. 스파이웨어 악성 앱들을 살펴보면 피해자의 민감한 개인정보 탈취를 목적으로 하고 있다는 것을 알 수 있습니다. 악성 앱이 개인 정보를 탈취하게 되면 공격자들은 탈취한 개인 정보를 활용하여 2차 공격을 감행할 것으로 추측할 수 있습니다. 이런 2차 공격은 결국 피해자의 금전 탈취를 목적으로 하고 있음을 쉽게 유추할 수 있을 것입니다. 이런 공격들은 사용자가 앱 설치에 충분한 주의를 기울인다면 예방할 수 있기에 사용자의 예방 노력이 무엇보다 중요합니다.
공식 스토어 이외의 경로를 통한 앱 설치 시 앱 제작자와 앱에 대하여 충분히 알아본 후 설치를 하여야 하며 공식 스토어를 이용하더라도 신뢰할 수 있는 앱 제작자인지 확인이 필요합니다. 그리고 백신 애플리케이션을 설치하여 항상 최신 업데이트 버전으로 유지하는 것이 위협으로부터 자신을 지키는 첫걸음이라 할 수 있을 것입니다.
앱 설치 시 본인의 스마트폰이 위협에 노출될 수 있음을 인지하고 주의를 기울여야 하며 알약M과 같은 신뢰할 수 있는 백신을 사용하여야 하겠습니다.
다음은 악성 앱 공격의 예방 및 대응 방법입니다.
- 악성 앱 예방
1) 출처가 불분명한 앱은 설치하지 않는다.
2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.
3) SMS나 메일 등으로 보내는 앱은 설치하지 않는다.
- 악성 앱 감염 시 대응
1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.
2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.
3) 백신 앱이 악성 앱을 탐지하지 못했을 경우
A. 백신 앱의 신고하기 기능을 사용하여 신고.
B. 수동으로 악성 앱 삭제
자세한 내용은 보안동향보고서에서 확인하실 수 있으며, 현재 알약에서는 관련 악성코드를 'Trojan.Android.SmsSpy' 로 진단하고 있습니다.