정보 탈취와 기기 제어가 주목적인 악성 앱 ‘Trojan.Android.InfoStealer’ 분석해보니
[보안뉴스 원병철 기자] 모바일 기기를 대상으로 하는 사이버 공격은 보이스피싱과 몸캠피싱은 물론 스미싱 등 다양하다. 수법이 더 다양화되고 정교해지면서 피해 금액도 상당한 수준이다. 경찰 자료에 따르면 2020년 기준 보이스피싱 사기는 3만 1,681건에 피해액 7,000억원이며, 몸캠피싱은 2,583건에 피해액 72억 6,800만원에 달한다.
▲RAT 제어 화면[이미지=깃허브]
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근에는 불특정 다수가 아닌 개인이나 특정인을 표적으로 한 공격 방식이 발견되고 있으며, 주로 RAT을 통한 방식이 많이 확인되고 있다. RAT은 Remote Administration Tool의 약자로 원격 관리 도구다. 대부분 오픈소스 소프트웨어이며 빠르게 앱을 만들고 수정해 원하는 기능을 직접 추가할 수 있다는 장점 때문에 많은 사람들이 사용한다. 따라서 공격자들은 이미 만들어진 오픈소스를 활용하기도 한다.
오래전부터 활용된 ‘AhMyth-Android-RAT’은 현재까지도 꾸준하게 발견되고 있으며 기능을 공격자가 조금씩 추가하는 방식으로 활용된다. 사용자의 정보를 탈취하고 기기를 원하는 대로 제어할 수 있는데, 카메라, 연락처, 위치, 문자, 전화 등을 통해 다양한 악성행위를 수행할 수 있다. 또한, 대상에 따라 원하는 형태로 배포 앱을 위장할 수 있으며, 추가 다른 앱과 합쳐서 위장도 가능하다.
▲앱 권한[자료=ESRC]
발견되는 앱들을 살펴보면 다양한 권한들을 요구하면서 여러 가지 앱들로 위장하고 있다. 주로 은행들과 대출, 증권, 계약서로 위장하고 있는데, 최근 새로운 형태의 이미지를 사용하는 앱이 발견됐다.
▲앱 실행 화면 및 권한[자료=ESRC]
해당 솔루션은 모회사의 실제 존재하는 솔루션으로, 앱에 직접 적용하는 것이지 별도의 APK를 제공하는 것이 아닌데도 마치 지원하는 것처럼 위장하고 있다. 권한을 살펴봐도 앞서 소개한 앱 권한과 유사하며, 앱 실행 시 해당 이미지를 보여주는 것 이외에 다른 화면은 없다. 정보 탈취와 기기 제어가 주목적인 악성 앱 ‘Trojan.Android.InfoStealer’를 자세하게 살펴보면 다음과 같다.
코드 분석
악성 앱의 주요 행위는 다음과 같다.
- 전화 가로채기 / 전화 기록 수정 / 페이크 전화 / 연락처 수정 / 카메라 제어 / 앱 삭제 / 문자 탈취 / 연락처 탈취 / 위치정보 탈취 / 녹음 / C2 명령 수행
▲리소스 불러오기[자료=ESRC]
앱 실행 시 리소스에 있는 웹 페이지 소스를 가져와 화면에 표시한다. 리소스에는 Index.html과 로그를 포함한 이미지 2개 보이스피싱에 활용할 수 있는 은행 안내 멘트 음성 파일이 포함되어 있다.
▲전화번호 리스트[자료=ESRC]
추가로 음성파일 이외에 dat 파일이 하나 존재하는데, 여러 은행 번호 및 해당 은행의 안내 멘트 mp3를 구분 지어 저장하고 있다.
▲전화 제어[자료=ESRC]
dat 파일을 활용해 전화를 가로챈 후, 화면에 표시되는 번호를 바꾸고 가짜 음성파일을 출력해 피해자를 속일 수 있다. 또한, 전화 기록을 확인해 특정 기록을 삭제하거나 추가할 수 있다. 가짜 전화는 통화 연결음을 재생해 실제 통화 중인 것처럼 위장하는데, 저장한 이미지들을 불러와서 통화 화면을 그대로 구성하고 있다. 특정 기기마다 화면이 다르므로 기종별로 필터링해 해당 화면을 출력한다.
▲가짜 전화 화면 구성[자료=ESRC]
연락처 목록도 삭제하거나 추가해 넣는 것도 가능하다. x0000ca, x0000mc 등 AhMyth RAT에서 쓰는 명령어 패턴으로, ca는 카메라 제어 명령, mc는 마이크 제어로 확인되며, 전면과 후면 카메라 등을 파악한 후 제어할 수 있다.
▲앱 삭제[자료=ESRC]
설치된 앱 리스트들을 볼 수 있으므로 원하는 앱을 삭제할 수도 있다. 또한, 다양한 제어 기능 답게 GPS를 통한 위치 정보를 탈취할 수 있으며, 문자 목록을 확보해 탈취할 수도 있다.
▲C2 주소[자료=ESRC]
명령을 내리는 명령제어(C&C) 서버 주소는 base64를 통해 디코딩한 값을 표시하고 있다. base64로 인코딩한 값을 볼 수 있으며 다양한 포트 번호도 하드코딩되어 있다.
▲감염자 확인[자료=깃허브]
이스트시큐리티 ESRC는 “AhMyth RAT 이외에도 여러 가지 다양한 RAT들이 존재하며, 배포되는 앱의 형태 또한 무궁무진하다”면서, “위의 샘플처럼 보안 솔루션으로 위장할 수도 있고, 게임이나 다른 유틸리티로도 충분히 위장할 수 있다”고 지적했다. 아울러 “악성 앱은 설치 시 정보를 탈취하고 기기를 장악해 원하는 대로 컨트롤할 수 있으므로 악성 앱 설치에 대한 예방이 중요하다”고 조언했다.
△악성 앱 공격의 예방 및 대응 방법
[악성 앱 예방]
① 출처가 불분명한 앱은 설치하지 않는다.
② 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.
③ SMS나 메일 등으로 보내는 앱은 설치하지 않는다.
[악성 앱 감염 시 대응]
① 악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.
② 악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.
③ 백신 앱이 악성 앱을 탐지하지 못했을 경우, 백신 앱의 신고하기 기능을 사용하여 신고하고, 수동으로 악성 앱 삭제
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 모바일 기기를 대상으로 하는 사이버 공격은 보이스피싱과 몸캠피싱은 물론 스미싱 등 다양하다. 수법이 더 다양화되고 정교해지면서 피해 금액도 상당한 수준이다. 경찰 자료에 따르면 2020년 기준 보이스피싱 사기는 3만 1,681건에 피해액 7,000억원이며, 몸캠피싱은 2,583건에 피해액 72억 6,800만원에 달한다.
▲RAT 제어 화면[이미지=깃허브]
이스트시큐리티 시큐리티대응센터(ESRC)에 따르면 최근에는 불특정 다수가 아닌 개인이나 특정인을 표적으로 한 공격 방식이 발견되고 있으며, 주로 RAT을 통한 방식이 많이 확인되고 있다. RAT은 Remote Administration Tool의 약자로 원격 관리 도구다. 대부분 오픈소스 소프트웨어이며 빠르게 앱을 만들고 수정해 원하는 기능을 직접 추가할 수 있다는 장점 때문에 많은 사람들이 사용한다. 따라서 공격자들은 이미 만들어진 오픈소스를 활용하기도 한다.
오래전부터 활용된 ‘AhMyth-Android-RAT’은 현재까지도 꾸준하게 발견되고 있으며 기능을 공격자가 조금씩 추가하는 방식으로 활용된다. 사용자의 정보를 탈취하고 기기를 원하는 대로 제어할 수 있는데, 카메라, 연락처, 위치, 문자, 전화 등을 통해 다양한 악성행위를 수행할 수 있다. 또한, 대상에 따라 원하는 형태로 배포 앱을 위장할 수 있으며, 추가 다른 앱과 합쳐서 위장도 가능하다.
▲앱 권한[자료=ESRC]
발견되는 앱들을 살펴보면 다양한 권한들을 요구하면서 여러 가지 앱들로 위장하고 있다. 주로 은행들과 대출, 증권, 계약서로 위장하고 있는데, 최근 새로운 형태의 이미지를 사용하는 앱이 발견됐다.
▲앱 실행 화면 및 권한[자료=ESRC]
해당 솔루션은 모회사의 실제 존재하는 솔루션으로, 앱에 직접 적용하는 것이지 별도의 APK를 제공하는 것이 아닌데도 마치 지원하는 것처럼 위장하고 있다. 권한을 살펴봐도 앞서 소개한 앱 권한과 유사하며, 앱 실행 시 해당 이미지를 보여주는 것 이외에 다른 화면은 없다. 정보 탈취와 기기 제어가 주목적인 악성 앱 ‘Trojan.Android.InfoStealer’를 자세하게 살펴보면 다음과 같다.
코드 분석
악성 앱의 주요 행위는 다음과 같다.
- 전화 가로채기 / 전화 기록 수정 / 페이크 전화 / 연락처 수정 / 카메라 제어 / 앱 삭제 / 문자 탈취 / 연락처 탈취 / 위치정보 탈취 / 녹음 / C2 명령 수행
▲리소스 불러오기[자료=ESRC]
앱 실행 시 리소스에 있는 웹 페이지 소스를 가져와 화면에 표시한다. 리소스에는 Index.html과 로그를 포함한 이미지 2개 보이스피싱에 활용할 수 있는 은행 안내 멘트 음성 파일이 포함되어 있다.
▲전화번호 리스트[자료=ESRC]
추가로 음성파일 이외에 dat 파일이 하나 존재하는데, 여러 은행 번호 및 해당 은행의 안내 멘트 mp3를 구분 지어 저장하고 있다.
▲전화 제어[자료=ESRC]
dat 파일을 활용해 전화를 가로챈 후, 화면에 표시되는 번호를 바꾸고 가짜 음성파일을 출력해 피해자를 속일 수 있다. 또한, 전화 기록을 확인해 특정 기록을 삭제하거나 추가할 수 있다. 가짜 전화는 통화 연결음을 재생해 실제 통화 중인 것처럼 위장하는데, 저장한 이미지들을 불러와서 통화 화면을 그대로 구성하고 있다. 특정 기기마다 화면이 다르므로 기종별로 필터링해 해당 화면을 출력한다.
▲가짜 전화 화면 구성[자료=ESRC]
연락처 목록도 삭제하거나 추가해 넣는 것도 가능하다. x0000ca, x0000mc 등 AhMyth RAT에서 쓰는 명령어 패턴으로, ca는 카메라 제어 명령, mc는 마이크 제어로 확인되며, 전면과 후면 카메라 등을 파악한 후 제어할 수 있다.
▲앱 삭제[자료=ESRC]
설치된 앱 리스트들을 볼 수 있으므로 원하는 앱을 삭제할 수도 있다. 또한, 다양한 제어 기능 답게 GPS를 통한 위치 정보를 탈취할 수 있으며, 문자 목록을 확보해 탈취할 수도 있다.
▲C2 주소[자료=ESRC]
명령을 내리는 명령제어(C&C) 서버 주소는 base64를 통해 디코딩한 값을 표시하고 있다. base64로 인코딩한 값을 볼 수 있으며 다양한 포트 번호도 하드코딩되어 있다.
▲감염자 확인[자료=깃허브]
이스트시큐리티 ESRC는 “AhMyth RAT 이외에도 여러 가지 다양한 RAT들이 존재하며, 배포되는 앱의 형태 또한 무궁무진하다”면서, “위의 샘플처럼 보안 솔루션으로 위장할 수도 있고, 게임이나 다른 유틸리티로도 충분히 위장할 수 있다”고 지적했다. 아울러 “악성 앱은 설치 시 정보를 탈취하고 기기를 장악해 원하는 대로 컨트롤할 수 있으므로 악성 앱 설치에 대한 예방이 중요하다”고 조언했다.
△악성 앱 공격의 예방 및 대응 방법
[악성 앱 예방]
① 출처가 불분명한 앱은 설치하지 않는다.
② 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다.
③ SMS나 메일 등으로 보내는 앱은 설치하지 않는다.
[악성 앱 감염 시 대응]
① 악성 앱을 다운로드만 했을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.
② 악성 앱을 설치했을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.
③ 백신 앱이 악성 앱을 탐지하지 못했을 경우, 백신 앱의 신고하기 기능을 사용하여 신고하고, 수동으로 악성 앱 삭제
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
