오픈소스 안드로이드 악성코드 DogeRat

최근 GitHub에서 새로운 안드로이드 정보탈취 앱이 발견되었다. 해당 앱은 ‘DogeRat’이라는 이름으로 불리며, SMS 메시지 및 통화기록 등의 정보 탈취 동작을 수행한다. DogeRat은 교육 및 내부용으로 제작되었으며, 개발자가 제공하는 여러 가지 서비스를 활용하여 커스터마이징할 수 있다.

 

DogeRat은 몇 번의 업데이트가 있었던 것으로 보여지며, 가장 최신 버전의 경우 ‘YOUTUBE PREMIUM’의 이름으로 제작 및 배포되었다.

 

[그림 1] 버전 별 실행 화면 변화

 

실행화면의 우측 하단 ‘Next’ 버튼을 누르면 각종 권한을 요구한다. 그리고 알림창 접근성 권한까지 획득하고 나면 Youtube 창을 띄워 정상 앱인 척 사용자를 속인다.

 

[그림 2] 권한 획득 및 실행 화면

 

단말기의 제조사 및 모델 정보와 배터리 상태, SDK 버전 및 밝기 등의 정보를 획득하여 원격지에 전송한다.

 

[그림 3] 단말기 정보 전송 코드

 

그리고 다음의 정보를 탈취한다.

 

[표 1] 탈취하는 정보

 

이때 수집한 정보를 .txt 파일로 생성하여 파일 타입으로 원격지에 전송한다.

 

[그림 4] 생성된 파일

 

오픈소스 악성코드 DogeRat은 교육 및 내부용으로 제작된 것으로 전해지지만, 악의적인 용도로 2차 제작될 가능성이 높기 때문에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.