페이스북 위장해 게임 계정정보 탈취하는 악성앱 등장

  |  입력 : 2021-12-01 11:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
뮤오리진, 리니지M, 네오플OTP, 해피머니, 액스, 넥슨 플레이 등 게임관련 계정정보 노려

[보안뉴스 원병철 기자] 최근 페이스북을 위장해 스마트폰의 게임관련 계정정보를 탈취하는 악성앱이 발견돼 주의가 요구된다고 이스트시큐리티 ESRC(시큐리티 대응센터)가 밝혔다. 이번에 발견된 악성앱은 페이스북을 위장하고 있지만, 페이스북 아이콘 모양이 최신 버전의 아이콘이 아닌 구 버전의 페이스북 아이콘을 사용하고 있는 것도 특징이다.

▲구 버전의 페이스북을 위장한 악성앱이 요구하는 권한들[자료=ESRC]


사용자가 만약 해당 앱을 정상 페이스북 앱으로 오인해 앱을 설치하면, 아이콘이 사라지며 사용자 입장에서는 마치 아무것도 설치하지 않은 것처럼 보인다. 하지만 해당 앱은 사용자 모바일에 정상적으로 설치되었으며, 사용자 몰래 백그라운드에서 기기제어, 전화 및 문자탈취, 녹음 등 다양한 악성 행위를 할 수 있다. 특이한 점은, 사용자 모바일 내 저장되어 있는 뮤오리진, 리니지M, 네오플OTP, 해피머니, 액스, 넥슨 플레이 등등 게임관련 계정정보를 탈취한다는 점이다.

▲정보 탈취 시도 앱 패키지명[자료=ESRC]


또한 내부 코드에 포함되어 있는 총 3개의 트위터 계정에서 c2를 받아와 탈취한 정보를 전송한다.

▲트위터 계정으로 부터 c2 획득[자료=ESRC]


하지만, 현재 코드에 적혀있는 트위터 계정이 모두 정지된 상태라서 따로 탈취한 정보를 전송하지는 않지만, 트위터 계정 정지가 풀리면 다시 악성 행위를 시도 할 가능성이 있다. 뿐만 아니라, 앱 코드 내부에는 본인인증 문구와 최신버전 업데이트의 문구가 있는 것으로 보아, 공격자가 추가적으로 본인인증을 이유로 계정정보 탈취 및 최신버전 업데이트의 이유로 추가 악성앱을 내려줄 가능성이 다분하다.

▲코드 내부에 포함되어 있는 재설치 유도 문구[자료=ESRC]


ESRC는 “스마트폰 사용자는 반드시 구글플레이나 앱스토어를 통해서만 앱을 설치하기를 권고하며, 알약M과 같은 모바일 백신을 사용할 것을 권장 한다”고 조언했다. 한편, 현재 알약M에서는 해당 악성앱을 ‘Trojan.Android.Dropper’로 탐지 중에 있다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화