사이트맵 contact us
 
채용정보
인재상
문의/상담
HOME > PROMOTION > 프로모션 & 이벤트
제목 AhnLab _ 안드로이드 악성 앱 엑스봇 등록일 2016.05.25 10:50
글쓴이 주식회사리드솔루션 조회 753

랜섬웨어와 봇(bot) 기능을 가진 안드로이드 악성 앱 엑스봇(xbot)이 처음 발견된 것은 지난 2015년 5월 경이다. 이 악성 앱은 구글 플레이의 지불 페이지와 러시아 및 호주 은행 앱의 로그인 페이지를 도용한 피싱 사이트를 이용하여 사용자의 금융정보와 신용카드 정보를 노린다. 이후 꾸준히 나타나고 있는 엑스봇은 진화하는 양상을 보이고 있다. 

 

최근 발견된 엑스봇은 봇(bot) 기능을 이용해 사용자의 스마트폰을 잠그는 한편 SD 카드의 사용자 데이터를 암호화하여 금전을 요구하는 랜섬웨어의 형태를 하고 있다. 또한 사용자의 문자메시지와 연락처 정보를 탈취한다.

 

이 악성 앱은 [그림 5]의 설치 화면 상단에서 볼 수 있는 것처럼 구글 플레이 아이콘으로 위장하고 있다. 해당 앱의 설치 과정을 살펴보면 주소록 및 메시지 접근, 저장소 수정 등의 권한을 요구하고 있다. 

 

[그림 5] 악성 앱 설치 과정1

 

악성 앱이 설치되면 구글 플레이 아이콘이 생성되며, 앱을 실행하면 휴대폰 관리자 권한을 획득하기 위하여 사용자에게 활성화를 요구한다. 최근 발견되는 대다수의 악성 앱은 휴대폰 관리자 권한을 요구한다. 사용자가 악성 앱에 관리자 권한을 활성화하면 이후 악성 앱은 자신을 보호하기 위해 사용자가 관리자 권한 활성화를 해제하지 못하도록 방해한다.

 

[그림 6] 악성 앱 설치 과정2

 

엑스봇 악성 앱이 실행되면 RunService 클래스를 통하여 카드 정보 수집 페이지로 이동한다.

 

이후 공격자의 명령을 받아 사용자에게 위조된 은행 페이지를 보여주고 정보를 탈취한다. 

 

[그림 7] 정보 탈취용 은행 위장 페이지

 

또한, 스마트폰의 잠금 패스워드를 ‘1811blabla‘로 재설정하는 코드도 확인되었다. 해당 코드가 실행되면 [그림 8]과 같이 랜섬워어 행위를 수행하는 것으로 추측된다. 

 

[그림 8] 패스워드 재설정 코드

 

스마트폰에서 은행이나 쇼핑 등을 이용하는 사용자가 많아질수록 이를 노리는 공격자들도 더욱 교묘하게 악성 앱을 제작하고 배포하기 위해 노력할 것이 분명하다. 기본적으로 앱은 공식 마켓에서 다운로드 받아 설치하는 것이 안전하지만, 공식 마켓에도 악성 앱이 등록되어 있을 가능성도 무시할 수 없는 만큼 앱 설치 시 평판 정보를 확인하고 설치하는 습관을 가져야 한다. 또한 문자에 포함된 URL을 무심코 클릭하다 보면 악성 앱이 설치될 수도 있기 때문에 확인되지 않은 URL 및 앱은 설치하지 않도록 주의해야 한다. 또한 V3 Mobile Security 등 모바일 전용 보안 앱이나 AhnLab 안전한 문자 등 스미싱 탐지 앱을 이용하는 것도 바람직하다. 

 

한편 V3 모바일 제품에서는 해당 악성코드를 다음과 같이 진단하고 있다.