데이팅 앱을 위장한 Arid Viper의 공격

Arid Viper 그룹의 Android 사용자를 표적으로 하는 공격이 발견되었다. Cisco Talos에 따르면 해당 캠페인은 작년 4월부터 등장한 것으로 전해진다. 정상의 데이팅 애플리케이션과 유사한 모습으로 위장하여, 정보 탈취 및 악성 코드 다운로드 등의 악성 동작을 수행한다.

 

아래의 실행 화면은 ‘Skipped’ 이름으로 유포된 악성코드이다.

 

[그림 1] 앱 실행화면

 

해당 앱은 악성 동작을 수행하기 위해, 여러가지 권한을 획득한다. 단말기의 종류 및 모델에 따라 일부 차이가 있으나, 접근성 권한과 알림 권한을 획득한다. 그리고 관리자 모드로 앱을 실행하도록 설정하고, 악성동작의 지속성을 유지하기 위해 해당 앱의 배터리 최적화 설정을 취소한다.

 

[그림 2] (좌) 접근성 권한 획득 화면, (우) 알림 권한 획득 화면

 

그리고 일부 제조사 보안 패키지를 탐지한 후, 자동 실행 설정을 수행한다.

 

[그림 3] 자동 실행 설정 화면

 

그리고 아래의 악성동작을 수행한다.

[표 1] 악성동작 목록

 

해당 앱은 수개월간 발생한 APT 공격으로 변종이 나타나거나 추가적인 악성 동작이 발생할 수 있으므로 큰 주의가 필요하다. 이와 같은 피해를 막기 위해서는 출처가 불분명한 앱의 설치를 지양하고 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.