침해된 정상 사이트를 C2 서버로 사용하는 AI 기반 난독화 악성 앱 분석 보고서
1. 개요
국내 유명 택배 회사를 사칭한 악성 앱은 이전부터 꾸준히 유포되고 있으며, 유포자는 Anti-Virus(AV) 탐지를 회피하기 위해 다양한 기법을 사용하고 있다.
대표적으로 난독화와 패킹 기법이 활용되고 있으며, 현재까지도 이러한 기법이 적용된 악성 앱이 다수 발견되고 있다.
최근 AI 기술의 발전으로, 기존 난독화 및 패킹 솔루션에 AI를 접목해 악성 앱을 제작·유포하는 사례도 발견했다.
특히 정보 탈취 후 데이터를 유출하는 과정에서 공격자는 정상 사이트를 C2 서버로 악용하고 있는데, 이는 해당 사이트가 침해되어 관리자가 인지하지 못한 상태에서 외부 프로그램을 통해 C2 역할을 수행하고 있음을 추측할 수 있다.
또한 공격자는 국내 포털에서 운영되는 블로그에 C2 서버 주소를 하드코딩하고, 앱 실행 시 이를 불러와 C2 서버로 활용하는 방식으로 탐지를 더욱 어렵게 만들고 있다.
본 보고서에서는 AI를 활용한 Proguard 난독화 사례와 C2 서버 확보 방식, 그리고 데이터 유출에 대해 분석한 내용을 소개한다.
2. 분석
2.1. APK 정보
분석 대상 APK의 메타 정보와 주요 기능은 다음과 같다.
그림 1. 악성 앱 메타 정보
2.2. AI를 활용한 Proguard 난독화
AndroidManifest.xml에서 명시한 컴포넌트 외 사용되는 클래스, 함수, 변수 정보가 의미 없는 한글 8자리로 구성되어 있으며, 리소스 이름이 변동이 없는 것으로 보아 Proguard를 활용한 난독화가 적용된 것으로 추정된다. 또한, Proguard 난독화 적용 시 사용한 문자열의 경우 8자리 의미 없는 한글로 설정했음을 추측할 수 있다.
그림 2. 변수 이름 한글 난독화
그림 3. 클래스 이름 한글 난독화
그림 4. 클래스 및 함수 한글 난독화
2.3. 정적 분석
권한이 허용되면 앱은 무작위로 생성한 운송장 번호를 기반으로 실제 배송 조회 사이트에 접속한 화면을 띄워 정상 앱처럼 위장한다.
그림 5. 랜덤 운송장 번호 조회 페이지 접속
2.4. 동적 분석
앱 실행 시, 악성 행위 수행을 위해 필요한 권한을 사용자에게 요청한다.
그림 6. 권한 요청
