2024-04-16 19:45 (화)
몸캠하려다 된통 당한다...몸캠 안드로이드 악성 앱 다시 기승...주의
상태바
몸캠하려다 된통 당한다...몸캠 안드로이드 악성 앱 다시 기승...주의
  • 길민권 기자
  • 승인 2018.06.21 22:41
이 기사를 공유합니다

mom-1.jpg
몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도한다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통해 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박해 금전을 갈취하는 방식을 취한다.

다음은 ‘Trojan.Android.InfoStealer’ 악성코드에 대한 이스트시큐리티의 상세 분석 보고서 내용이다.

사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용한다.

사용자 기기의 SDK 버전을 확인하고, 그 버전이 23 이상일 경우 "android.permission.READ_CONTACTS’, ‘android.permission.READ_PHONE_STATE’ 두가지 권한의 허가를 동적으로 요구한다. 앱 설치 시 필요한 권한의 허가를 한꺼번에 요청했던 이전 버전과 달리, 안드로이드 6.0 ‘마시멜로우’ 버전인 SDK23 버전부터는 해당 권한이 사용될 때, 동적으로 허가 요청을 받는 것으로 안드로이드 정책이 변경 되었다.

요청하는 권한을 거절 할 경우 사용자가 원하는 기능을 이용할 수 없다며 사용자를 속이는 문구를 팝업하고 악성 행위에 필요한 권한을 허가하도록 유도한다. 사회공학적 기법으로서 사용자는 ‘몸캠’을 하기 위해 해당 앱을 다운받아 설치한 상태이고, 그 목적을 달성하기 위해서 동적 권한을 허가할 확률이 매우 높을 것으로 추정된다.

사용자 기기의 통화 상태를 감시하여 발신상태일 경우 대상 번호를 저장한다. ‘/data/data/com.tencent.qq.a(패키지명)/shared_prefs/’폴더의 ‘cache.xml’파일에 저장한다.

사용자의 전화번호를 탈취해 ‘/data/data/com.tencent.qq.a(패키지명)/shared_prefs/’폴더의 ‘cache.xml’파일에 저장한다. 이때 기기의 전화번호가 없으면 기기의 고유번호를 저장한다.

기기에 저장된 주소록과 유심칩에 저장된 주소록까지 탈취한다. 또한 기기에 저장된 계정도 탈취한다. 해커는 이 주소록을 탈취해 사용자의 주변 지인들에게 문자와 메일을 이용, ‘사용자의 몸캠 이용’ 사실을 전송하겠다고 협박하며 금전을 요구하게 된다.

탈취된 정보는 해커의 C&C 서버인 ‘118.107.181.26’로 전송된다. 그러나 현재 해당 서버에 접속이 되지 않는 것으로 확인됐다.

추가적으로, 해당 샘플에서는 코드가 있어도 실행이 되지 않거나 앞으로 추가 될 수도 있는 행위와 관련된 코드들을 확인 할 수 있다. 관리자 권한 확보를 통한 앱 삭제 방해, 문자 탈취, 사진 앨범 탈취, 기기정보 탈취가 있다.

또 해당 앱의 Assets 폴더에 ‘temp.html’이 저장되어 있는데, 실제 한국에 존재하는 특정 회사와 관련된 문서가 저장되어 있다.

이스크시큐리티 측은 "해당 악성 앱은 사용자를 속이기 위해서 유명 앱으로 위장하고, 사용자의 전화번호부를 탈취한다. 이를 통해 지인들에게 ‘몸캠 이용 사실’을 알린다고 협박해 금전을 탈취하고 있다"며 "악성 앱에 감염되지 않기 위해서는 예방이 중요하다. 출처가 불명확한 URL과 파일은 실행하지 않아야 한다. 또한 주변 기기의 비밀번호를 자주 변경하고 OS와 애플리케이션을 항상 최신 업데이트 버전으로 유지해야 한다"고 강조했다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★