Spyware.Android.FakeApp 악성코드 분석 보고서

 안녕하세요? 이스트시큐리티입니다.

 

 지난해 8월 가짜 성인 앱으로 위장해 사용자 다운로드를 유도했던 안드로이드 스파이웨어 Triout이 이번에는 정상 앱에 숨어들었습니다. 1천만 건 이상 다운로드 된 프라이버시툴 “PsiPhon”에 악성 코드가 추가되었습니다.  서비스와 리시버 형태로 사용자 몰래 기기 정보는 물론 문자 탈취, 녹음 등 사생활을 완전히 감시하고 그 정보를 해커의 서버로 전송합니다.

 

 본 분석 보고서에서는 'Spyware.Android.FakeApp'를 상세 분석하고자 합니다.

악성코드 상세 분석

 1. 악성코드 추가

 원본 앱의 구조와 비교해 보면 마지막에 “psp” 클래스가 추가되었습니다. 특히, 매니페스트를 보면 리시버와 서비스들이 다수 추가된 것을 알 수 있고, 관련 권한과 인텐트들은 민감한 정보를 얻기 위해 사용되는 요소들입니다.

 

[그림 1] 정상 앱에 추가된 악성 코드

 2. 앱 아이콘 숨김

 지속적인 악성 행위를 위하여 자신의 아이콘을 숨깁니다.

  

[그림 2] 아이콘 숨김

 3. 기기 정보 확인

 심 카드 관련 정보, 기기 모델, 제조사, 보드 등 기기 자체의 정보를 확인합니다.

 

[그림 3] 기기 정보 확인

 4. 기기 사용 정보 확인

 현재 최상위에서 실행되는 앱 정보 확인, 설치된 앱 정보 확인, 저장소에 위치한 파일들의 용량과 경로 등을 확인하여 실시간으로 대상을 감시합니다. 

[그림 4] 현재 실행되는 최상위 액티비티 확인

[그림 5] 설치된 앱의 패키지명 확인

[그림 6] 저장소에 저장된 파일 정보 확인

 5. 앱 감시

 바이버, 왓츠앱, 라인 3개 앱의 정보가 저장된 데이터베이스를 감시합니다. 해당 앱들은 메신저 및 통화 앱입니다.

 

[그림 7] 감시되는 앱 중 하나인 바이버

 6. 앱 통화 감시

 앱의 통화 기능과 관련된 액티비티를 확인하여 실행되고 있으면 해당 내용을 저장합니다.

 

[그림 8] 앱의 통화 기능 감시

 7. 수신되는 문자 메시지 확인

 수신되는 문자 메시지의 내용을 확인하고 특정 문자를 감시하거나 원격 명령으로 사용합니다.

[그림 9] 수신되는 문자 메세지 확인

 8. 저장된 문자 메시지 확인

 기기의 저장된 문자 메시지를 확인합니다.

  

[그림 10] 저장된 문자 메시지 확인

  

 9. 통화 목록 확인

 기기의 통화목록을 확인합니다.

  

[그림 11] 통화 목록 확인

 

 10. 주소록 확인

 주소록을 확인합니다.

[그림 12] 주소록 확인

 

 11. 전화 녹음

 기기의 전화 상태를 감시하여 수신되는 전화번호를 확인하고 통화 내용을 녹음합니다.

[그림 13] 수신전화번호 확인 및 통화 내용 녹음

 12. 사용자 위치와 네트워크 확인

 사용자의 현재 위치와 네트워크 상태를 주기적으로 확인합니다.

[그림 14] 위치와 네트워크 확인

 

 13. 카메라 제어

 카메라의 소리와 촬영을 제어하고 저장합니다.

[그림 15] 카메라 제어

 

 14. 북마크 확인

 기기의 인터넷 브라우저의 북마크를 확인합니다.

[그림 16] 북마크 확인

 

 15. 실시간 녹음

 실시간으로 사용자의 일상을 녹음합니다.

[그림 17] 실시간 일상 녹음

 

 16. 실시간 스크린샷

 실시간으로 사용자의 기기 화면을 저장합니다.

[그림 18] 실시간 화면 스크린샷

 

 17. 문자 전송

 사용자 몰래 특정 번호로 문자 전송이 가능합니다.

[그림 19] 문자 전송

 18. 확인된 정보 탈취

 위에서 확인하고 수집한 정보들은 해커의 서버로 탈취됩니다. “hxxp://188.165.49.205/해커가수집한정보와관련된문자열.php” 형태로 탈취한 정보들은 각기 다른 서브 디렉토리에 저장됩니다.

[그림 20] 탈취되는 수집된 정보

결론

 해당 악성 앱은 가짜 성인 앱으로 위장했던 이전 버전과는 다르게 정상 앱에 숨어들어 유포되었습니다. 특히, 기기 정보는 물론이고 통화 녹음, 카메라 제어 등으로 사용자의 사생활을 실시간으로 감시할 수 있습니다.

 따라서, 악성 앱에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않아야 합니다. 또한, 주변 기기의 비밀번호를 자주 변경하고 백신 애플리케이션을 설치하여 항상 최신 업데이트 버전으로 유지해야 합니다.

 

 현재 알약M에서는 해당 악성 앱을 'Spyware.Android.FakeApp' 탐지 명으로 진단하고 있습니다.