딥시크 열풍 속 사칭 앱 등장
최근 챗GPT 대항마로 저비용 고성능 AI 모델을 출시한 딥시크(DeepSeek)가 단기간에 국내 AI 앱 순위권에 올라서는 등 열풍을 일으키고 있는 가운데, 이를 사칭한 악성 앱이 발견되고 있다. 이 악성 앱은 정상 앱과 매우 유사한 형태로 제작돼 사용자들에게 혼란을 주고 있다. 관련 사례를 살펴보자.
사칭 앱과 정상 앱의 아이콘을 비교하면 [그림 1]과 같다.
[그림 1] 사칭 앱(왼쪽)과 정상 앱(오른쪽)
두 앱에 서명된 인증서 정보를 대조하면, 사칭 앱에는 정상 앱과 다른 인증서로 서명된 것을 확인할 수 있다.
[그림 2] 사칭 앱과 정상 앱 인증서 정보 비교
또한, 악성 앱의 경우 역방향 TCP(Meterpreter Reverse Proxy) 페이로드를 실행해 악성 행위를 실행한다.
[그림 3] 디코드(Decode) 대상 ByteArray
[그림 4] 디코드 로직
대표적인 악성 행위로는 단말기 내 저장된 연락처, SMS, 통화 기록 등 민감 정보 탈취 등이 있다.
안랩 백신은 딥시크를 사칭한 악성 앱을 Downloader/Agent, Trojan/Banker로 진단하고 있다. 사용자는 공식 앱 스토어가 아닌 불분명한 링크를 통한 앱 설치를 지양하고, 백신 앱을 최신 버전으로 유지해 피해가 발생하지 않도록 주의해야 한다.
출처 : AhnLab
