[Spyware.Android.Agent] 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 ESRC(시큐리티대응센터)입니다.

 

전 세계적으로 일어나는 지정학적 갈등 상황으로 피해자의 금전이 아닌 정보 탈취와 감시 기능을 수행하는 악성 앱들이 증가하고 있습니다.

 

Spyware.Android.Agent는 중동 지역의 특정 정부와 연관된 단체들이 정치적인 목적으로 유포하는 악성 앱으로 피해자의 사생활 감시를 목적으로 제작된 것으로 보입니다.

 

Spyware.Android.Agent 악성 앱은 피싱 메일을 이용하여 유포됩니다. 피싱 메일을 받은 피해자들은 첨부파일 형태의 악성 앱을 설치하게 되고 설치된 악성 앱은 자신의 존재를 감추어 백그라운드에서 은밀하게 피해자의 사생활 감시를 수행합니다.

해당 악성 앱은 “Call Service”라는 전화 관련 앱으로 위장하고 있어 피해자는 전화 관련한 부가기능을 가진 앱을 설치하는 것으로 오인하여 설치를 진행하게 됩니다. 

 

공격자는 별도의 관리자 페이지를 통해 감염된 기기들을 관리하고 있으며 감염된 기기는 계정 탈취를 비롯해 여러 가지 악의적인 행위에 사용될 수 있습니다. 현재 공식 홈페이지 이외에 별도의 애플리케이션이 없는 상태이므로 출처가 불분명한 앱은 설치하지 않도록 주의해야 한다.

 

다음은 악성 앱 공격의 예방 및 대응 방법입니다.

 

악성 앱 예방

1) 출처가 불분명한 앱은 설치하지 않는다.

2) 구글 플레이 스토어 같은 공식 사이트에서만 앱을 설치한다. (앱 제작자 체크)

3) SMS나 메일 등으로 보내는 앱은 설치하지 않는다.

 

악성 앱 감염 시 대응

1) 악성 앱을 다운로드만 하였을 경우 파일 삭제 후 신뢰할 수 있는 백신 앱으로 검사 수행.

2) 악성 앱을 설치하였을 경우 신뢰할 수 있는 백신 앱으로 검사 및 악성 앱 삭제.

3) 백신 앱이 악성 앱을 탐지하지 못했을 경우

4) 백신 앱의 신고하기 기능을 사용하여 신고.

5) 수동으로 악성 앱 삭제

 

현재 알약M에서는 해당 앱을 ‘Trojan.Android.Banker’ 탐지 명으로 진단하고 있으며, 자세한 내용은 보안동향보고서에서 확인하실 수 있습니다.