분석 정보/모바일 분석 정보

CapraRAT 악성 앱 주의

알 수 없는 사용자 2022. 2. 25. 16:44

지난 2월 초, "Trend Micro" 에서 인도의 정부 기관 및 군사 기관을 상대로 정보 탈취 공격을 시도하는 "CapraRAT" 악성 앱을 발견하였다. 해당 악성 앱은 백그라운드 동작으로 단말기 내 다양한 정보들을 수집하고 외부 원격지의 명령을 받아 추가 악성 동작을 수행하기 때문에 사용자들의 주의가 필요하다.

 

먼저 악성 앱이 실행 되면, 사용자가 알아차리기 어렵도록 아이콘을 숨김 속성으로 변경하고 과도한 권한을 요구한다.

 

[그림 1] 과도한 권한 요구

 

그 후, 백그라운드 동작으로 단말기 내 SMS 정보, 통화 기록, 이메일 주소 등에 접근하여 데이터를 수집 한다.

 

[그림 2] SMS 정보 수집

 

또한, 단말기의 위치 정보를 수집하기 위해 연결된 네트워크 정보와 GPS 값을 읽고 수집한다.

 

[그림 3] 위치 정보 수집

 

수집 한 정보들은 외부 원격지로 전송한다.

 

[그림 4] 원격지 URL

 

 

정보 수집 뿐만 아니라, 명령에 따라 단말기 화면을 캡처 하거나 발신자 전화 가로채기, 음석 녹음 등 외부 명령에 따라 추가 악성 동작을 수행한다.

 

[표 1] CapraRAT 명령

 

“CapraRAT” 악성 앱은 현재까지 인도 정부를 대상으로 활동을 하기 때문에 국내 사용자들의 직접적인 영향은 없지만 사용자들이 주로 사용하는 악성앱으로 위장하거나 공격 대상에 한국이 포함될 수 있어 주의가 필요하다. 그렇기 때문에 출처가 불분명하거나 과도한 권한을 요구하는 앱 설치를 피하고, 주기적으로 백신을 최신 버전으로 업데이트해야 한다.