Trojan.Android.AgentNK 악성배트맨 와이즈 토토 분석 보고서
안녕하세요!이스트시큐리티시큐리티대응센터(ESRC)입니다.
최근“코니(Konni)”해커그룹이제작하여공격에활용한것으로판단되는악성앱이발견되었습니다.
[그림1]악성앱아이콘
이번 공격의 배후에 코니 해커 그룹이 있을 것으로 판단하는 이유는 2019년 코니 해커 그룹이 공격에 사용했던 악성 앱과의 유사 점들이 다수 발견되었기 때문입니다.
2019년 공격과 관련된 내용은 아래 링크의 알약 블로그 포스팅을 참고해 주시기 바랍니다.
▶코니(Konni)APT조직,안드로이드스파이활동과김수키조직유사성분석
이번 공격의 궁극적인 목표는 피해자들의 암호화폐 탈취일 것으로 보입니다. 북한의 이런 암호화폐 탈취를 위한 공격은 은밀하고 꾸준히 이루어지고 있습니다.
북한이 이렇게 암호화폐 탈취에 혈안이 된 것은 무기 제작 등을 위한 자금 마련에 있는 것으로 추측됩니다. 이는 언론에서도 꾸준히 언급되고 있습니다.
▶ 북한해킹:'북한이탈취한가상화폐600억원,핵·미사일자금됐다' (출처 : BBC 코리아)
▶"북한,올해'탈중앙화금융체계'서암호화폐10억달러탈취" (출처 : VOA)
▶북한의라자루스,탈중앙화암호화폐거래소공격 (출처 : 보안뉴스)
이번 공격에 사용된 악성 앱은 2019년 코니 해커 그룹이 유포했던 악성 앱과 유사한 부분들이 다수 발견되었습니다. 과거 코니 악성 앱과의 유사점과 악성 앱의 주요 기능을 살펴보도록 하겠습니다.
1. 2019년 코니 해커 그룹이 유포한 악성 앱과의 유사점
다음 그림을 살펴보면 과거 코니 해커 그룹이 유포했던 악성 앱의 배트맨 와이즈 토토를 재사용 하고 있다는 것을 알려주고 있습니다.
[그림2]과거배트맨 와이즈 토토의변수사용(2019년악성앱(왼쪽),최근악성앱(오른쪽))
과거유포악성앱은앱프로텍트라는보안앱으로위장하여공격을진행했습니다.이번에발견된악성앱은암호화폐관련앱으로위장하고있으나내부배트맨 와이즈 토토는과거의배트맨 와이즈 토토를사용하고있음을위그림을통해알수있습니다.
다음 그림은 특정 스트링을 동일하게 사용하고 있는 것을 보여주고 있습니다.
[그림 3] 동일 스트링 사용 (2019년 악성 앱(위), 최근 악성 앱(아래))
과거 코니 해커 그룹의 앱에서 사용되었던 특정 스트링이 이번 공격의 악성 앱에서도 동일하게 사용되고 있습니다.
다음 그림은 C2의 명령을 해석하여 수행하는 배트맨 와이즈 토토를 보여주고 있습니다.
[그림 4] C2 명령 수행 배트맨 와이즈 토토 (2019년 악성 앱(왼쪽), 최근 악성 앱(오른쪽))
공격자의 명령을 수행하는 배트맨 와이즈 토토 또한 재사용된 것으로 보이며 수행하는 악성 기능도 매우 유사합니다.
다음 그림은 탈취한 정보를 저장하는 파일 리스트를 보여주고 있습니다.
[그림5]탈취정보저장파일리스트(2019년악성앱(왼쪽),최근악성앱(오른쪽))
위그림에서도알수있듯이과거악성앱과이번악성앱들의파일이름이동일한것을알수있습니다.
위에서 살펴본 유사점들로 인하여 이번 공격에 활용된 악성 앱은 코니 해커 그룹이 제작한 악성 앱이라고 판단할 수 있을 것입니다.
코니 해커 그룹이 유포한 이 악성 앱의 궁극적인 목적은 피해자의 개인 정보를 탈취하고 이를 이용하여 암호화폐 등의 금전 탈취에 있을 것으로 판단됩니다.
2. 악성 앱 상세 분석
악성 앱 설치 후 실행 시 암호화폐 사이트의 로그인 페이지를 노출합니다. 이는 악성 앱이 정상적인 동작을 하는 것으로 위장하고 백그라운드에서는 피해자의 개인정보 탈취를 진행하기 위해서입니다.
다음그림은악성앱이노출하는암호화폐거래사이트입니다.
[그림 6] 암호화폐 거래 사이트 접속 화면
다음그림은암호화폐거래사이트의접속배트맨 와이즈 토토입니다.
[그림 7] 암호화폐 거래 사이트 접속 배트맨 와이즈 토토
악성 앱이 수행하는 주요 악성 기능을 살펴보도록 하겠습니다.
[주요 악성 행위]
- 기기정보탈취
- 계정정보탈취
- 설치앱리스트탈취
- 연락처탈취
- SMS탈취
- C2명령수행
다음 표는 C2의 명령어 리스트입니다.
배트맨 와이즈 토토 | 명령 내용 | 배트맨 와이즈 토토 | 명령 내용 |
0 | 탈취정보업로드 | 1 | 파일다운로드 |
2 | 파일삭제 | 3 | SMS삭제 |
4 | SMS전송 | 5 | 앱실행 |
6 | 앱 설치 | 7 | 앱제거 |
8 | 팝업창실행 | 9 | 웹접속 |
10 | 화면 제어 (밝기 조절) | 11 | 볼륨 |
[표 1] C2 명령 리스트
설치 완료 후 악성 앱은 백그라운드에서 공격자의 명령을 수행하기 위해 대기하고 있게 됩니다. 위의 표는 악성 앱이 수행하는 명령 리스트입니다.
다음 그림은 위 명령을 해석하여 수행하는 배트맨 와이즈 토토의 일부입니다.
[그림 8] C2 명령 수행 배트맨 와이즈 토토
다음 그림은 명령 수행 시 탈취 정보를 저장할 파일의 리스트입니다. 악성 앱은 수집되는 각 정보를 다음 리스트에 존재하는 파일에 저장한 후 공격자의 명령이나 앱에 설정된 주기에 따라 C2로 전송합니다.
[그림 9] 탈취 정보 저장 파일 리스트
다음 그림은 스파이 행위를 위한 초기화 배트맨 와이즈 토토입니다.
[그림 10] 악성 앱 초기화 배트맨 와이즈 토토
스파이 행위 초기화 배트맨 와이즈 토토에 존재하는 “OK, My Spy”라는 스트링은 코니 해커 그룹이 이전 공격에서 유포한 앱과 변종들 에서도 공통적으로 발견되었던 특징입니다.
위의 주요 악성 행위에서 살펴 보셨듯이 악성 앱은 다양한 스파이 행위를 수행하게 됩니다. 수행하는 스파이 기능의 배트맨 와이즈 토토를 살펴 보도록 하겠습니다.
다음 그림은 기기 정보를 탈취 하는 배트맨 와이즈 토토입니다.
[그림 11] 기기 정보 탈취 배트맨 와이즈 토토
대부분의 개인 정보 탈취 악성 앱들은 피해자를 식별하기 위해 피해자를 식별 가능한 개인 정보를 탈취하여 이를 기반으로 탈취 정보를 관리하게 됩니다.
다음 그림은 SMS의 수/발신 내역을 탈취하는 배트맨 와이즈 토토의 일부입니다. 배트맨 와이즈 토토는 수신된 SMS와 발신 SMS 모두 저장합니다.
[그림 12] SMS 탈취 배트맨 와이즈 토토의 일부
다음 그림은 기기에 설치된 앱들의 정보를 수집하는 배트맨 와이즈 토토입니다.
[그림 13] 앱 리스트 탈취 배트맨 와이즈 토토
다음 그림은 피해자의 연락처 정보를 수집하는 배트맨 와이즈 토토입니다.
[그림 14] 연락처 탈취 배트맨 와이즈 토토
다음 그림은 피해자의 계정 정보를 수집 하는 배트맨 와이즈 토토입니다.
[그림 15] 계정 정보 탈취 배트맨 와이즈 토토
다음 그림은 수집된 정보를 기록한 파일들을 업로드 하는 배트맨 와이즈 토토입니다.
[그림 16] 파일 업로드 배트맨 와이즈 토토
다음 그림은 공격자의 명령에 따라 SMS를 삭제 하는 배트맨 와이즈 토토입니다.
[그림 17] SMS 삭제 배트맨 와이즈 토토
다음 그림은 공격자의 명령에 따라 SMS를 발신하는 배트맨 와이즈 토토입니다. 공격자의 명령이 있을 경우 동작하는 배트맨 와이즈 토토로 발신 문자 내용은 C2를 통해 전달합니다.
[그림 18] SMS 전송
다음그림은파일다운로드배트맨 와이즈 토토입니다.
[그림 19] 파일 다운로드 배트맨 와이즈 토토
다음그림은파일삭제배트맨 와이즈 토토입니다.
[그림 20] 파일 삭제 배트맨 와이즈 토토
다음 그림은 앱 실행 배트맨 와이즈 토토입니다.
[그림 21] 앱 실행 배트맨 와이즈 토토
다음그림은앱설치배트맨 와이즈 토토입니다.
[그림 22] 앱 설치 배트맨 와이즈 토토
다음그림은앱제거배트맨 와이즈 토토입니다.
[그림 23] 앱 제거 배트맨 와이즈 토토
다음그림은웹페이지접속배트맨 와이즈 토토입니다.
[그림 24] 웹 페이지 접속 배트맨 와이즈 토토
다음그림은화면의밝기조절을제어하는배트맨 와이즈 토토입니다.
[그림 25] 화면 밝기 제어 배트맨 와이즈 토토
다음 그림은 볼륨 제어 배트맨 와이즈 토토입니다.
[그림 26] 볼륨 제어 배트맨 와이즈 토토
위 배트맨 와이즈 토토들을 살펴보면 공격자는 피해자의 스마트폰에서 개인 정보를 탈취하는 것 이외에 몇 가지 제어 기능을 수행합니다. 공격자의 명령에 따라 추가적인 악성 앱을 설치하고 화면이나 볼륨을 제어하여 추가적인 악성 행위를 수행할 수 있습니다.
코니(Konni)조직의모바일공격은지속적으로이어지고있으며과거에는정보탈취가주요목적이었다면최근공격의주요목표는금전탈취에있는것으로보입니다.
해당악성앱도암호화폐거래와관련된앱으로위장하여설치시국내암호화폐거래소의웹페이지를노출하게됩니다.이후백그라운드에서피해자의개인정보를탈취하며이를이용하여암호화폐거래소에예치된금전탈취가최종목표일것으로추측됩니다.
이런악성앱들의공격에희생되지않기위해서는사전예방을위한노력이중요합니다.스마트폰을사용하시는분들은스스로보안의식을고취시킬필요가있으며악성앱에대한경각심을가져야하겠습니다.
공격에대한예방방법은비교적간단합니다.문자내의URL링크를클릭하지않거나다운로드한악성앱을설치하지않으면됩니다.그리고알약M과같이신뢰할수있는백신앱을설치하여사용하는것도피해를예방하는데도움이됩니다.
다음은악성앱공격의예방및대응방법입니다.
- 악성앱예방
1) 출처가 불분명한 문자나 URL을 수신한 경우 링크 클릭 자제.
2) 링크를클릭하기전정상사이트의도메인과일치하는지확인.
3) 휴대폰번호,아이디,비밀번호등의개인정보는신뢰된사이트에서만입력.
- 악성앱감염시대응
1) 악성앱을다운로드만하였을경우파일삭제후신뢰할수있는백신앱으로검사수행.
2) 악성앱을설치하였을경우신뢰할수있는백신앱으로검사및악성앱삭제.
3) 백신앱이악성앱을탐지하지못했을경우
A. 백신앱의신고하기기능을사용하여신고.
B. 수동으로악성앱삭제
