지도 앱으로 위장한 Origin 스파이웨어

텔레그램에서 지도 앱 AlpineQuest의 Pro 버전으로 위장해 유포되는 Origin 스파이웨어가 발견됐다. 공격자는 AlpineQuest Pro를 무료로 제공한다는 내용과 함께 악성코드가 삽입된 APK 파일의 다운로드 및 설치를 유도한다. 해당 앱을 실행하면 정상적인 지도 앱과 동일하게 동작하면서 백그라운드에서는 스파이웨어가 연락처, 파일 목록 및 위치 정보 등을 수집한 후 공격자에게 전송한다.

 

정상 및 악성 앱 비교

Origin 스파이웨어는 정상 AlpineQuest Pro 앱에 악성코드를 삽입한 형태로 실제 정상 앱과 동일한 기능 및 서비스를 제공한다. 단, 해당 앱을 실행하면 지도 서비스와 관련된 위치 정보 외에도 연락처 및 근처 디바이스 등에 대한 추가 권한을 요구한다.

 

[그림 1] 앱 실행 화면 및 허용 권한 목록

 

정상 앱과 악성 앱의 진입점 액티비티를 비교해보면 악성 앱의 onCreate 메서드에 코드가 추가된 것을 확인할 수 있다. 추가된 코드는 주요 악성 동작이 포함된 Serv 클래스의 인스턴스를 생성한 후 initServer 메서드를 호출해 공격자가 운영하는 C&C서버와 연결을 설정하고 정보를 수집한다. checkAllPermissions 메서드는 악성 동작에 필요한 권한 획득 여부를 확인 후 다시 요청하는 역할을 한다.

 

[그림 2] 진입점 액티비티 코드 비교

 

 

Parse 서버 연결 설정

Origin 스파이웨어는 공격자에게 수집한 정보를 전송하는 수단으로 Parse SDK와 텔레그램 봇을 이용한 방식을 사용한다. Parse SDK는 안드로이드 앱에서 Parse Server에 접근할 수 있게 해주는 라이브러리로 하드 코딩된 app_id, client_key 및 서버 주소를 이용해 공격자가 구축한 Parse Server(C&C)에 연결을 설정한다.

 

[그림 3] Parse SDK 초기화 코드

 

공격자가 운영하는 C&C 서버와 연결에 성공하면 스파이웨어는 장치의 모델명, 버전 및 빌드 번호 등의 기본 정보를 수집한 후 Parse SDK에서 사용하는 데이터 표현 방식인 ParseObject에 저장한다. 장치 정보를 저장한 ParseObejct는 saveInBackground 메서드를 이용해 서버로 전송하고 장치를 등록한다.

 

[그림 4] 장치 정보 수집 및 전송 코드

 

 

정보 수집 및 모듈 다운로드

장치 등록 후 [그림 1]에서 획득한 권한을 이용해 연락처 정보와 장치에 저장된 파일 목록을 조회하고 “resp_dir” 폴더 내 텍스트 파일로 저장한다. 저장된 텍스트 파일은 [그림 4]와 동일한 방식으로 ParseObject 형식으로 변환 후 공격자가 운영하는 C&C 서버로 전송된다.

- 연락처 정보 저장 경로 : {package_dir}\resp_dir\contract_{yyyyMMdd_HHmmss}.txt

- 파일 목록 저장 경로 : {package_dir}\resp_dir\fs_ext_{yyyyMMdd_HHmmss}.txt

 

[그림 5] 연락처 정보 및 파일 목록 저장 코드

 

또한 Origin 스파이웨어는 onLocationChanged 메서드를 이용해 사용자의 위치 변화를 감지하고 현재 경도 및 위도 정보를 수집한다. 수집한 정보는 실시간으로 텔레그램 봇을 이용해 공격자의 채널에 전송된다.

 

[그림 6] 위치 정보 전송 코드

 

정보 수집 외에도 PasreQuery를 이용해 서버에서 추가 모듈에 대한 ParseObject를 다운로드하고 “_dFile.dex”라는 이름으로 저장 및 실행한다. 단, 분석 시점에서 서버와 연결되지 않아 추가 모듈이 다운로드되지 않았다.

- ParseQuery : 서버에서 ParseObject를 검색하는 쿼리를 정의하는 객체.

 

[그림 7] dex 파일 다운로드 및 실행 코드

 

Origin 스파이웨어는 텔레그램에서 지도 앱 AlpineQuest Pro의 무료 버전으로 위장해 사용자의 다운로드 및 설치를 유도하며 정상 앱과 동일하게 동작해 감염 사실을 인식하기 어렵다. 또한, 연락처, 파일 목록 및 실시간 위치 등의 민감한 정보가 유출될 수 있어 주의가 필요하다. 따라서 공식 스토어를 사용해 앱을 설치하고 주기적으로 백신과 OS를 최신버전으로 업데이트 할 것을 권고한다.