상세 컨텐츠

본문 제목

게임 계정 탈취를 시도하는 페이스북 위장 악성앱 주의!

악성코드 분석 리포트

by 알약4 2021. 11. 30. 15:18

본문

 

안녕하세요. ESRC(시큐리티 대응센터)입니다.
페이스북을 위장한 악성 앱이 발견되어 사용자들의 주의가 필요합니다. 

이번에 발견된 악성 앱은 페이스북을 위장하고 있습니다. 다만, 페이스북 아이콘 모양이 최신 버전의 아이콘이 아닌 구 버전의 페이스북 아이콘을 사용하였습니다. 

 

 

[그림 1] 구 버전의 페이스북을 위장하고 있는 악성 앱

 

[그림 2] 악성 앱이 요구하는 권한들



사용자가 만약 해당 앱을 정상 페이스북 앱으로 오인하여 앱을 설치하면, 아이콘이 사라지며 사용자 입장에서는 마치 아무것도 설치하지 않은 것처럼 보여집니다.


하지만, 해당 앱은 사용자 모바일에 정상적으로 설치되었으며, 사용자 몰래 백그라운드에서 기기제어, 전화 및 문자탈취, 녹음 등 다양한 악성 행위를 할 수 있습니다. 

특이한 점은, 사용자 모바일 내 저장되어 있는 뮤오리진, 리니지M, 네오플OTP, 해피머니, 액스, 넥슨 플레이 등등 게임관련 계정정보를 탈취합니다. 

 

 

[그림 3] 정보 탈취 시도 앱 패키지명



또한 내부 코드에 포함되어 있는 총 3개의 트위터 계정에서 c2를 받아와 탈취한 정보를 전송합니다. 

 

 

[그림 4] 트위터 계정으로 부터 c2 획득




[그림 5] c2를 받아오는 트위터 계정 중 하나



하지만, 현재 코드에 적혀있는 트위터 계정이 모두 정지된 상태라서 따로 탈취한 정보를 전송하지는 않지만, 트위터 계정 정지가 풀리면 다시 악성 행위를 시도 할 가능성이 있습니다. 

뿐만 아니라, 앱 코드 내부에는 본인인증 문구와 최신버전 업데이트의 문구가 있는 것으로 보아, 공격자가 추가적으로 본인인증을 이유로 계정정보 탈취 및 최신버전 업데이트의 이유로 추가 악성앱을 내려줄 가능성이 다분합니다. 

 

 

[그림 6] 코드 내부에 포함되어 있는 재설치 유도 문구

 

 

사용자 여러분들께서는 반드시 구글플레이를 통해서만 앱을 설치하시기를 권고드리며, 알약M과 같은 모바일 백신을 사용할 것을 권장드립니다. 

 

현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.Dropper로 탐지중에 있습니다. 

 

 

 

관련글 더보기

댓글 영역