최근, “WhatsApp” 아이콘을 사칭하는 악성 앱이 발견 되었다. 해당 악성 앱은 설치 시, “WhatsApp” 아이콘으로 보이지만 설치 된 앱 정보에서는 아래와 같이 “TrendbanterNew” 라고 다르게 되어 있다.
“TrendbanterNew”는 “Trendbanter” 라는 앱을 위장한것으로 추정되며, “Trendbanter” 앱은 국내 사용자에게는 잘 알려지지 않았지만 인도를 대상으로 하는 소개팅, 결혼 매칭과 관련 된 앱이다.
해당 앱이 실행 되면 먼저, 사용자에게 여러가지 과도한 권한을 요구하며, 사용자가 이를 수락하면 단말기의 주요 데이터들을 탈취하여 원격지로 전송하기 때문에 주의가 요구 된다.
Analysis
PJobRAT은 사용자 환경의 정보들을 탈취하기 위해 Firebase 원격지에서 데이터를 입력 받아 제어 하도록 구성되어 있다. “Firebase 클라우드 메시징(FCM)” 은 메시지를 안정적으로 전송할 수 있는 교차 플랫폼 메시징 솔루션이다.”
최근 Firebase를 이용한 악성코드들이 종종 발견되고 있다. Firebase를 이용한 추가 사례는 자사 블로그를 통해 확인할 수 있다.
▶ Firebase를 이용한 악성코드 사례
2021.04.02 - 정상 앱 사칭 Clast82 유포 주의
2021.04.30 - 시스템 업데이트의 형태로 위장한 앱 주의
해당 악성 앱이 Firebase를 이용하여 원격지와 통신할 때 사용되는 명령어 들은 다음과 같다. 명령어 이외에도 사용자 전화번호부에 접근하거나, 파일 확장자를 비교하여 대상확장자일 경우 함께 업로드 한다. (파일 확장자 : pdf, doc, docx, xls, xlsx, ppt, pptx)
위에서 수집한 정보들은 HTTP 프로토콜을 이용하여 원격지로 전송한다.
현재 분석한 시점에는 원격지와 연결이 원활하지 않지만, 정상적으로 원격지가 연결되었을 때는 다음과 같다.
앞서, 살펴본 내용과 같이 악성코드 제작자들은 정상 앱 아이콘이나 사용자가 가장 많이 사용하는 앱들을 대상으로 교묘하게 위장하여 유포한다.
그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 지양하고, 주기적으로 백신을 최신 버전으로 업데이트하여 악성코드를 예방할 수 있다.
'분석 정보 > 모바일 분석 정보' 카테고리의 다른 글
| Youtube 사칭 정보탈취 앱 (0) | 2021.08.03 |
|---|---|
| Facebook 계정 정보를 노리는 안드로이드 악성 앱 (0) | 2021.07.20 |
| TeamViewer를 이용하여 원격 조종하는 Hydra (0) | 2021.07.02 |
| Chrome 사칭 악성 앱 주의 (0) | 2021.07.01 |
| COVID-19 백신 무료 등록 사칭 악성 앱 주의 (0) | 2021.06.18 |