Trojan.Android.InfoStealer 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

 

일반 사용자들의 스마트폰을 장악해 문자, 녹음, 갤러리 등등 사생활을 몰래 감시하고 정보를 탈취하는 악성 앱은 꾸준하게 발견되고 있습니다. 최근 분석을 어렵게 하기 위해 다양한 방법을 사용한 앱을 발견하였으며, 해당 앱 설치 시 개인정보 유출 및 원격제어가 가능합니다. 여기서 유출된 계정과 기타 정보들은 판매되거나 또 다른 피해를 발생시킬 수 있습니다.

기존 크롬 브라우저 아이콘으로 위장했던 악성 앱은 현재 한국의 우체국과 라인 앱 등으로 위장하고 있습니다. 또한 앱 실행 시 별다른 화면이 나타나지 않고 앱 목록에서 숨김 처리가 이루어집니다.

[그림] 유사 앱 목록

위의 분석에서 앱 실행 시 화면이 나타나지 않았지만, 이 또한 웹 사이트에 있는 텍스트를 참고하여 피싱 사이트를 열어주기 때문에 화면에 표시되지 않았습니다. 피싱 사이트는 pinterest 사이트의 몇몇 계정을 참고하며 공격자가 임의로 피싱 사이트 주소를 변경할 수 있습니다. 인포스틸러로써 다양한 정보들을 탈취하고 C2와 피싱 사이트를 숨기기 위해 여러 장치들을 해놓은 이 앱은 앞으로도 분석을 더욱 어렵게 할 것으로 보입니다.

 

현재 알약M에서는 해당 앱을 'Trojan.Android.InfoStealer' 탐지 명으로 진단하고 있으며, 관련 상세 분석 보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.