← 보안센터로 돌아가기

분석정보 · 모바일 분석 정보

대출 앱으로 위장한 정보탈취 앱, SpyLoan

최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다. “SpyLoan” 앱은 먼저 전화번호 인증을 이

2024-01-03INCA Security Center

최근, 구글 플레이 스토어에서 정상 대출 앱으로 위장해 민감한 정보를 탈취하는 악성 앱 “SpyLoan”이 발견됐다. 해당 앱은 동남아시아, 아프리카 및 라틴 아메리카 지역을 대상으로 유포되며, 대출을 명목으로 사용자에게 개인 및 금융 정보를 입력하도록 유도한다. 공격자는 수집한 정보를 이용해 사용자에게 협박 메시지를 보내고, 금전을 갈취한다.

 

“SpyLoan” 앱은 먼저 전화번호 인증을 이용해 사용자 등록 및 로그인을 요청하며, 미리 설정된 국가 번호는 대상 국가를 특정하고 있음을 알 수 있다. 로그인에 성공하면, 데이터를 수집하기 위해 과도한 권한을 요청한다.

 

[그림 1] 전화번호 인증 및 권한 요청 화면

  

이후, 대출에 필요한 과정인 것처럼 사용자를 속여 연락처, 신분증 및 은행 정보 등 민감한 정보를 입력하도록 유도한다.

 

[그림 2] 개인 정보 입력 화면

  

사용자가 입력한 개인 및 금융 정보는 수집 후 공격자의 서버로 전송되며, [그림 3]은 정보 수집의 예로 은행 및 카드 정보가 해시맵 형태로 저장되는 것을 확인할 수 있다.


[그림 3] 은행 및 카드 정보 수집 코드

 

또한, [그림 1]에서 요청한 권한을 이용해 감염된 디바이스에서 [표 1]의 정보를 수집한다.

 

[표 1] 디바이스 정보 수집 목록

   

수집한 디바이스 정보는 로컬 저장소에 .txt 파일로 저장된다.

 

[그림 4] 데이터 저장 코드

 

저장된 파일은 서버로 전송되기 전 탐지 회피를 목적으로 [그림 5]와 같이 암호화된다.

 

[그림 5] 암호화된 데이터

   

[그림 6]에서 암호화된 데이터가 공격자의 서버로 전송되는 것을 확인할 수 있다.

 

[그림 6] 데이터 전송 패킷

 

“SpyLoan”은 구글 플레이 스토어에서 배포되며, 사용자의 심리와 동기를 이용해 개인 및 금융 정보를 입력하도록 유도하기 때문에 주의가 필요하다. 따라서, 공식 출처를 이용하더라도 해당 앱의 리뷰 또는 개인 정보 보호 정책을 확인하고, 주기적으로 백신을 최신 버전으로 업데이트하는 습관이 필요하다.




대출 앱으로 위장한 정보탈취 앱, SpyLoan | INCA Security Center | INCA Internet