[악성코드 분석리포트] Trojan.Android.Downloader
하반기부터 스미싱이 급증하는 추세입니다. 그리고 급증하는 만큼 스미싱 악성 앱들의 종류도 다양해지고 있습니다. 그중에는 글로벌 하게 활동 중인 "xLoader"의 변종도 포함되어 있었습니다.
해당 악성 앱은 최근 업데이트되어 유포된 것으로 보이며 26개국의 언어를 지원하도록 제작되어있습니다. 그리고 배포 방법이 스미싱을 활용하는 것으로 변경되었습니다. ESRC에서 수집되는 택배 스미싱을 통해서도 악성 앱이 유입되고 있음을 확인하였습니다.
[그림] 하드 코딩 된 26개국어 스트링
향후 스미싱이나 소셜네트워크를 유포방법으로 활용하는 악성 앱들이 더욱 증가할 것으로 예측됩니다. 이는 공격자 입장에서 공식 스토어나 웹사이트를 통한 유포 방법보다 상대적으로 유포가 쉬우며 관리 요소가 많지 않기 때문입니다. 그리고 클라우드 서비스를 이용한 C2도 증가할 것으로 예측됩니다. 구축과 유지 관리가 쉽기 때문입니다. 따라서 모바일 사용자들은 SMS와 소셜네트워크 이용 시 앱을 다운로드 받는 링크에 대해서는 각별한 주의를 기울여야 할 것입니다.
현재 알약M에서는 해당 악성 앱을 ‘Trojan.Android.Downloader’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.