Gravity RAT

메신저 앱으로 위장하여 사용자의 정보를 탈취하는 Gravity RAT이 다시 등장하였다. ESET에 따르면, 해당 악성 코드는 2015년부터 모습을 드러낸 것으로 전해진다. 아직 배후는 밝혀지지 않았으며, Windows, Android 및 macOS 등의 시스템에서 사용된 흔적이 발견되었다. 최근 확인된 캠페인에서는 각종 메신저 애플리케이션으로 위장한 형태로, SMS 메시지 및 통화 기록 등 단말기에 저장된 정보를 탈취한다.

 

아래의 그림은 BingeChat 메신저 앱으로 위장한 Gravity RAT의 실행화면이다. 정상적인 메시지 서비스를 제공한다.

 

[그림 1] (좌) 처음 실행 화면, (우) 메시지 실행 화면

 

정상적인 애플리케이션의 동작을 수행하지만, 백그라운드 모드에서 원격지와 통신하면서 각종 정보를 탈취한다. 먼저, 외부저장소에 저장된 특정 확장자의 파일 리스트를 수집하여 원격지에 전송한다. 수집하는 확장자는 다음과 같다. 이 중 crypt 파일은 WhatsApp 메시징 앱의 데이터베이스 파일로, 해당 악성코드는 WhatsApp의 메시지 백업 데이터 등을 탈취한다.

 

[표 1] 수집 대상

 

그리고 SMS 문자메시지의 주소와 내용, 날짜, 타입 정보를 수집하여 원격지에 전송한다. 그 외에도 통화기록 및 위치정보, 연락처, 단말기 등의 정보를 탈취한다.

 

[그림 2] 문자메시지 탈취 코드

 

또한 원격지와의 통신을 통해, 다음의 명령을 수행할 수 있다.

 

[표 2] 명령 목록

 

Gravity RAT의 정보 탈취 동작은 작업 스케줄러에 등록되어, 지속적이고 반복적으로 수행한다. 아래의 그림은 외부저장소의 파일리스트를 획득하는 동작의 코드로, 해당 동작은 60분 간격으로 반복하도록 설정되었다.

 

[그림 3] 파일 리스트 탈취 예약 작업

 

Gravity RAT은 BingeChat 메신저 애플리케이션으로서 정상 동작을 수행하면서, 사용자 몰래 악성 동작을 수행하기에 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.