Sova 악성코드

최근 안드로이드 단말기를 대상으로 하는 새로운 악성코드가 등장하였다. 해당 악성코드는 "SOVA"라는 이름으로 불리며 사용자 단말기에서 SMS 문자메시지를 비롯한 각종 개인 정보를 탈취한다. 아직 테스트 단계로 알려졌으나, 정보 탈취 뿐 만 아니라 Bot의 동작을 수행할 수 있는 것으로 밝혀졌다.

 

Sova 악성코드를 실행하면 다음의 이미지와 같이 접근성 권한을 획득한다.

 

[그림 1] (좌) 앱 정보, (우) 권환 획득

 

Event Listener를 통해 Clipboard에 저장되는 데이터를 획득한다.

 

[그림 2] 클립보드 정보 탈취 코드

 

그리고 Webview를 통해 연결되는 URL의 Cookie 정보를 탈취한다. 해당 악성 동작은 사용자의 로그인 정보 및 각종 개인 정보 탈취로 이어질 수 있다. 그 외에도 알림창에서 나타나는 Title과 Text 정보를 획득하고, SMS 문자메시지 수신 활동을 탐지하면, 메시지의 연락처와 본문 내용을 탈취한다.

 

[그림 3] Cookie 정보 탈취 코드

 

이렇게 수집한 정보는 오픈 소스 코드 패키지를 통해 HTTP 통신으로 전송한다. 원격지 서버와 클라이언트가 연결되었을 때 탈취한 정보를 나타내는 문자열과 함께 전송된다. 아래의 코드는 SMS 문자메시지 정보탈취 코드의 예로 "sms.new"라는 문자열과 함께 Request 된다.

 

[그림 4] SMS 정보 전송 코드

 

해당 악성 앱은 사용자 단말기에 문자메시지를 비롯한 Cookie 정보 등을 탈취하는 등의 악성동작을 수행할 뿐 아니라,이후 변종이 나타날 수 있기에 더욱 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.