안드로이드 악성코드 분석 보고서
(loves19.apk)
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명 | 9.22 _ lvoes.apk _ x _ m.loves19.com (2).apk |
MD5 | 3ec5767fc4b648aa4b0ae5d67f9db3a9 |
악성코드 명 | SMSstealer |
위험성 | 上 |
탈취정보 | 이름, 통신사, 전화번호, 내용 |
유출지 | http://zcloud.solutions:80/prod-api/webapp/... |
본 악성코드는 SMSstealer 계열로 분류되는 악성 애플리케이션으로, “loves119.apk”를 설치 시 기기에서 다음과 같은 악성 행위를 수행합니다. 실행 이후, 사용자의 기기 정보와 개인 정보(SMS 내용 및 개인 식별 번호 등)를 수집하여 이를 외부의 명시되지 않은 서버로 전송하는 특징을 보입니다.
해당 악성코드에 대해 Virustotal 분석 결과, 안랩 V3를 포함한 6개 보안 업체에서 악성으로 판정하였으며, 이를 기반으로 본 애플리케이션의 보안 위협 수준을 ‘상(上)’으로 평가하였습니다.
이는 특히 사용자의 민감 정보 탈취를 목적으로 하는 공격에 악용될 가능성이 높아 보안 관점에서 심각한 위험 요소로 판단됩니다.
2. 분석환경
정적분석도구 | Jadx-gui, ida pro |
동적분석도구 | Android studio, 실기기 |
네트워크 분석도구 | Wireshark |
본 분석 보고서는 악성코드의 정적 분석과 동적 분석으로 구성되어 있으며, 각각의 방법론을 통해 악성코드의 행위와 특징을 심층적으로 파악하였습니다.
정적 분석에서는 APK 파일을 디컴파일(Decompile)하기 위한 도구로 JEB를 사용하여 디컴파일된 코드를 정밀 분석하였습니다. 이를 통해 악성코드의 주요 동작 원리와 코드 구조를 파악하고 잠재적 악성 행위를 식별하였습니다.
동적 분석은 실제 악성코드를 루팅된 분석 기기에 설치하여 실행함으로써 수행되었습니다. 이를 통해 악성코드의 실질적인 동작을 관찰하였으며, 네트워크 분석 단계에서는 네트워크 패킷 캡처 도구를 활용하여 악성 행위와 관련된 패킷을 캡처하고, 이를 기반으로 서버와의 통신 및 데이터 전송 과정을 정밀하게 분석하였습니다.
해당 분석 과정은 정적 및 동적 방법론의 상호보완적 접근을 통해 악성코드의 본질을 더욱 명확히 이해하고, 관련 보안 위협을 보다 구체적으로 평가하는 데 초점을 맞췄습니다.
3. 타 백신 현황
본 악성코드의 APK 파일을 Virustotal 플랫폼에서 분석한 결과, 총 6개의 보안업체에서 해당 파일을 악성코드로 판정한 것을 확인하였습니다. 이를 통해 본 APK 파일이 다수의 보안 엔진에서 위협 요소로 식별될 만큼 높은 위험성을 지닌 것으로 평가됩니다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스 분석에 앞서, 해당 애플리케이션이 요구하는 권한(Permission)을 확인하여 악성 행위 가능성을 사전에 평가하였습니다. 이를 위해 본 보고서에서는 Virustotal을 활용하여 Android Manifest 파일의 정보를 추출하고, 권한에 대한 자동 분석을 수행하였습니다.
아래는 Virustotal에서 추출된 Android Manifest 정보와 함께, 애플리케이션이 요청한 권한 목록 및 이를 기반으로 한 분석 결과입니다. 이러한 권한 분석을 통해 애플리케이션이 사용자 기기에서 수행할 수 있는 잠재적 악성 행위를 예측하고, 이를 정적 분석 단계에 반영하였습니다.
해당 애플리케이션이 요청한 권한은 사용자의 민감한 정보에 접근하거나 이를 외부로 전송할 수 있는 기능을 포함하고 있어 각별한 주의가 필요합니다. 이러한 권한들은 특정 목적 없이 사용될 경우, 사용자 개인정보 유출 및 악의적 행위에 악용될 가능성이 높습니다.
추가적으로, OnAppScan과 같은 타 앱 스캔 도구를 활용한 분석 결과에서도 외부 사용 가능성이 있는 액티비티(Activity) 및 서비스(Service)가 발견되었습니다. 이는 애플리케이션이 외부 서버와의 통신이나 불분명한 작업을 수행할 가능성을 시사하며, 해당 행위가 정상적인 용도를 넘어 악의적으로 사용될 경우, 보안 위협을 가중시킬 수 있습니다.
위 이미지는 해당 악성 애플리케이션의 기본 아이콘입니다. 분석 결과, 앱은 setComponentEnabledSetting 메서드를 활용하여 아이콘을 은닉하는 행위는 수행하지 않는 것으로 확인되었습니다.
해당 애플리케이션은 SMS, 연락처, 앨범 접근과 같은 민감한 권한을 요구하며, 사용자가 이러한 권한을 부여하지 않은 경우, 앱 내부에서 권한을 요청하는 메커니즘을 통해 권한 확보를 시도하고 있습니다.
앱을 최초 실행 시, LoginActivity 클래스가 호출되며, 사용자에게 초대코드와 추가 입력값을 요구합니다. 이는 사용자 인증 또는 특정 정보를 수집하기 위한 과정을 포함할 가능성이 있으며, 수집된 데이터의 목적과 외부 전송 여부를 면밀히 확인할 필요가 있습니다.
해당 애플리케이션의 UploadService 클래스에서는 SMS 데이터를 서버로 업로드하는 기능이 포함된 메서드가 확인되었습니다.
SmS데이터를 읽어온 후 SharedPreference에서 입력한 초대코드를 갖고오며 전화번호도 가지고옵니다.
이후 데이터를 hashmap에 담은 후 이를 json형식으로 변환하여 http post요청을 서버에 보내게 됩니다.
실제 보내는 네트워크 패킷을 캡쳐해보면 밑에와 같습니다.
해당 분석에서 사용된 기기는 실제 디바이스지만, 테스트 목적으로 설정된 기기로, 핸드폰 번호가 등록되지 않은 상태입니다. 이에 따라 bjPhone 필드의 전화번호 값은 실제 값이 아닌 임의값으로 설정되어 있습니다. 이는 테스트 환경에서 데이터 전송 구조를 확인하기 위한 설정임을 명확히 합니다.
또한, 애플리케이션의 UploadActivity 클래스에서는 사진 관련 업로드 기능도 확인되었습니다. 이 클래스에서는 사용자의 기기에서 저장된 이미지 데이터를 수집하고 이를 외부 서버로 전송하는 기능을 포함하고 있을 가능성이 있습니다. 구체적으로 다음과 같은 프로세스를 수행할 것으로 추정됩니다:
해당 애플리케이션의 UploadActivity 클래스는 사용자가 기기의 앨범에서 이미지를 선택하면, 이를 압축 처리한 뒤 외부 서버로 업로드하는 기능을 수행합니다. 이미지 업로드 시, 서버로 전송되는 경로는 고정된 URL 패턴과 사용자 입력 값을 조합하여 구성됩니다.
구체적으로, URL의 기본 경로는 **http://[서버 주소]/webapp/image/**이며, 이 경로에 사용자가 입력한 초대코드가 추가되어 최종 업로드 경로가 결정됩니다. 예를 들어, 사용자가 입력한 초대코드가 ABCDE12345인 경우, 최종 업로드 경로는 **http://[서버 주소]/webapp/image/ABCDE12345**가 됩니다. 이를 통해 서버는 업로드된 이미지를 특정 사용자와 연관 지을 수 있습니다.
Filename이 Screenshot_2024-05-30-19-59-20.png라는 이름이 전송되고 있는것을 확인할 수 있습니다.
실제 이 png를 확인해보면,
위와같은 사진이 실제로 기기내에 저장되어있던 사진이고, 패킷에서 보내는 이름과 같이
실제 사진의 이름이 아래처럼 설정되어있는것을 확인할 수 있습니다.
이로써 기기내에 실제로 존재하는 사진파일들을 전송하는것을 알 수 있습니다.
또한, 애플리케이션 내부에는 saveAddress 기능도 존재하며, 이를 통해 기기에 저장된 전화번호부 데이터를 수집하고 탈취하는 행위도 수행됩니다. 전화번호부 정보는 사용자의 연락처를 대상으로 하는 스팸 발송이나 추가적인 악성 행위에 사용될 가능성이 있어, 심각한 보안 위협으로 간주됩니다.
아래는 실제 전송되는 패킷입니다.
모델과 이름, 존재한다면 보내는 연락처 데이터, 통신사이름등을 보냅니다.
(현재 테스트 기기라 전화번호가 없는상태)
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 애플리케이션은 설치와 동시에 사용자 기기를 감염시키며, 감염된 기기에서 민감한 개인 정보와 기기 정보를 탈취하는 악성 행위를 수행합니다. 구체적으로, 애플리케이션은 기기에 저장된 SMS 내용, 개인 전화번호, 사진 파일, 기기 모델 및 식별 정보 등을 수집한 뒤, 이를 외부 서버로 전송하여 유출합니다.
이러한 악성 행위는 사용자의 프라이버시를 심각하게 침해할 뿐만 아니라, 수집된 데이터를 악의적인 목적으로 활용할 가능성이 매우 높습니다. 따라서, 해당 애플리케이션 설치를 절대적으로 피하고, 이미 설치한 경우 즉시 삭제하는 것이 중요합니다. 또한, 출처가 불분명한 애플리케이션의 설치를 지양하며, 기기의 보안 설정을 강화하여 유사한 악성코드로부터 기기를 보호해야 합니다.
Ⅴ. 결론
1. 결론 및 대응 방안
SLOVES는 몸캠피싱 가해자들이 주로 유포하며, 설치된 기기에서 사용자의 정보를 탈취하는 악성 애플리케이션입니다. 특히, 이 앱은 기기 내 SMS 내용을 악용하여 몸캠 보이스 피싱과 같은 금융 사기를 유발할 수 있으며, 사용자는 심각한 2차 피해를 입을 가능성이 높습니다.
해당 악성코드에 감염된 경우, 기기 초기화와 같은 단독적인 조치를 서두르기보다는, 신뢰할 수 있는 백신 프로그램을 활용하여 악성코드를 감지하고, 이를 완벽히 삭제하는 것이 올바른 대응 방안입니다. 초기화는 데이터 복구와 같은 추가 문제를 야기할 수 있으므로, 악성코드 제거는 반드시 전문가의 지침이나 보안 소프트웨어를 이용해 진행하는 것이 바람직합니다.
안드로이드 악성코드 분석 보고서
(loves19.apk)
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명
9.22 _ lvoes.apk _ x _ m.loves19.com (2).apk
MD5
3ec5767fc4b648aa4b0ae5d67f9db3a9
악성코드 명
SMSstealer
위험성
上
탈취정보
이름, 통신사, 전화번호, 내용
유출지
http://zcloud.solutions:80/prod-api/webapp/...
본 악성코드는 SMSstealer 계열로 분류되는 악성 애플리케이션으로, “loves119.apk”를 설치 시 기기에서 다음과 같은 악성 행위를 수행합니다. 실행 이후, 사용자의 기기 정보와 개인 정보(SMS 내용 및 개인 식별 번호 등)를 수집하여 이를 외부의 명시되지 않은 서버로 전송하는 특징을 보입니다.
해당 악성코드에 대해 Virustotal 분석 결과, 안랩 V3를 포함한 6개 보안 업체에서 악성으로 판정하였으며, 이를 기반으로 본 애플리케이션의 보안 위협 수준을 ‘상(上)’으로 평가하였습니다.
이는 특히 사용자의 민감 정보 탈취를 목적으로 하는 공격에 악용될 가능성이 높아 보안 관점에서 심각한 위험 요소로 판단됩니다.
2. 분석환경
정적분석도구
Jadx-gui, ida pro
동적분석도구
Android studio, 실기기
네트워크 분석도구
Wireshark
본 분석 보고서는 악성코드의 정적 분석과 동적 분석으로 구성되어 있으며, 각각의 방법론을 통해 악성코드의 행위와 특징을 심층적으로 파악하였습니다.
정적 분석에서는 APK 파일을 디컴파일(Decompile)하기 위한 도구로 JEB를 사용하여 디컴파일된 코드를 정밀 분석하였습니다. 이를 통해 악성코드의 주요 동작 원리와 코드 구조를 파악하고 잠재적 악성 행위를 식별하였습니다.
동적 분석은 실제 악성코드를 루팅된 분석 기기에 설치하여 실행함으로써 수행되었습니다. 이를 통해 악성코드의 실질적인 동작을 관찰하였으며, 네트워크 분석 단계에서는 네트워크 패킷 캡처 도구를 활용하여 악성 행위와 관련된 패킷을 캡처하고, 이를 기반으로 서버와의 통신 및 데이터 전송 과정을 정밀하게 분석하였습니다.
해당 분석 과정은 정적 및 동적 방법론의 상호보완적 접근을 통해 악성코드의 본질을 더욱 명확히 이해하고, 관련 보안 위협을 보다 구체적으로 평가하는 데 초점을 맞췄습니다.
3. 타 백신 현황
본 악성코드의 APK 파일을 Virustotal 플랫폼에서 분석한 결과, 총 6개의 보안업체에서 해당 파일을 악성코드로 판정한 것을 확인하였습니다. 이를 통해 본 APK 파일이 다수의 보안 엔진에서 위협 요소로 식별될 만큼 높은 위험성을 지닌 것으로 평가됩니다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스 분석에 앞서, 해당 애플리케이션이 요구하는 권한(Permission)을 확인하여 악성 행위 가능성을 사전에 평가하였습니다. 이를 위해 본 보고서에서는 Virustotal을 활용하여 Android Manifest 파일의 정보를 추출하고, 권한에 대한 자동 분석을 수행하였습니다.
아래는 Virustotal에서 추출된 Android Manifest 정보와 함께, 애플리케이션이 요청한 권한 목록 및 이를 기반으로 한 분석 결과입니다. 이러한 권한 분석을 통해 애플리케이션이 사용자 기기에서 수행할 수 있는 잠재적 악성 행위를 예측하고, 이를 정적 분석 단계에 반영하였습니다.
해당 애플리케이션이 요청한 권한은 사용자의 민감한 정보에 접근하거나 이를 외부로 전송할 수 있는 기능을 포함하고 있어 각별한 주의가 필요합니다. 이러한 권한들은 특정 목적 없이 사용될 경우, 사용자 개인정보 유출 및 악의적 행위에 악용될 가능성이 높습니다.
추가적으로, OnAppScan과 같은 타 앱 스캔 도구를 활용한 분석 결과에서도 외부 사용 가능성이 있는 액티비티(Activity) 및 서비스(Service)가 발견되었습니다. 이는 애플리케이션이 외부 서버와의 통신이나 불분명한 작업을 수행할 가능성을 시사하며, 해당 행위가 정상적인 용도를 넘어 악의적으로 사용될 경우, 보안 위협을 가중시킬 수 있습니다.
위 이미지는 해당 악성 애플리케이션의 기본 아이콘입니다. 분석 결과, 앱은 setComponentEnabledSetting 메서드를 활용하여 아이콘을 은닉하는 행위는 수행하지 않는 것으로 확인되었습니다.
해당 애플리케이션은 SMS, 연락처, 앨범 접근과 같은 민감한 권한을 요구하며, 사용자가 이러한 권한을 부여하지 않은 경우, 앱 내부에서 권한을 요청하는 메커니즘을 통해 권한 확보를 시도하고 있습니다.
앱을 최초 실행 시, LoginActivity 클래스가 호출되며, 사용자에게 초대코드와 추가 입력값을 요구합니다. 이는 사용자 인증 또는 특정 정보를 수집하기 위한 과정을 포함할 가능성이 있으며, 수집된 데이터의 목적과 외부 전송 여부를 면밀히 확인할 필요가 있습니다.
해당 애플리케이션의 UploadService 클래스에서는 SMS 데이터를 서버로 업로드하는 기능이 포함된 메서드가 확인되었습니다.
SmS데이터를 읽어온 후 SharedPreference에서 입력한 초대코드를 갖고오며 전화번호도 가지고옵니다.
이후 데이터를 hashmap에 담은 후 이를 json형식으로 변환하여 http post요청을 서버에 보내게 됩니다.
실제 보내는 네트워크 패킷을 캡쳐해보면 밑에와 같습니다.
해당 분석에서 사용된 기기는 실제 디바이스지만, 테스트 목적으로 설정된 기기로, 핸드폰 번호가 등록되지 않은 상태입니다. 이에 따라 bjPhone 필드의 전화번호 값은 실제 값이 아닌 임의값으로 설정되어 있습니다. 이는 테스트 환경에서 데이터 전송 구조를 확인하기 위한 설정임을 명확히 합니다.
또한, 애플리케이션의 UploadActivity 클래스에서는 사진 관련 업로드 기능도 확인되었습니다. 이 클래스에서는 사용자의 기기에서 저장된 이미지 데이터를 수집하고 이를 외부 서버로 전송하는 기능을 포함하고 있을 가능성이 있습니다. 구체적으로 다음과 같은 프로세스를 수행할 것으로 추정됩니다:
해당 애플리케이션의 UploadActivity 클래스는 사용자가 기기의 앨범에서 이미지를 선택하면, 이를 압축 처리한 뒤 외부 서버로 업로드하는 기능을 수행합니다. 이미지 업로드 시, 서버로 전송되는 경로는 고정된 URL 패턴과 사용자 입력 값을 조합하여 구성됩니다.
구체적으로, URL의 기본 경로는 **http://[서버 주소]/webapp/image/**이며, 이 경로에 사용자가 입력한 초대코드가 추가되어 최종 업로드 경로가 결정됩니다. 예를 들어, 사용자가 입력한 초대코드가 ABCDE12345인 경우, 최종 업로드 경로는 **http://[서버 주소]/webapp/image/ABCDE12345**가 됩니다. 이를 통해 서버는 업로드된 이미지를 특정 사용자와 연관 지을 수 있습니다.
Filename이 Screenshot_2024-05-30-19-59-20.png라는 이름이 전송되고 있는것을 확인할 수 있습니다.
실제 이 png를 확인해보면,
위와같은 사진이 실제로 기기내에 저장되어있던 사진이고, 패킷에서 보내는 이름과 같이
실제 사진의 이름이 아래처럼 설정되어있는것을 확인할 수 있습니다.
이로써 기기내에 실제로 존재하는 사진파일들을 전송하는것을 알 수 있습니다.
또한, 애플리케이션 내부에는 saveAddress 기능도 존재하며, 이를 통해 기기에 저장된 전화번호부 데이터를 수집하고 탈취하는 행위도 수행됩니다. 전화번호부 정보는 사용자의 연락처를 대상으로 하는 스팸 발송이나 추가적인 악성 행위에 사용될 가능성이 있어, 심각한 보안 위협으로 간주됩니다.
아래는 실제 전송되는 패킷입니다.
모델과 이름, 존재한다면 보내는 연락처 데이터, 통신사이름등을 보냅니다.
(현재 테스트 기기라 전화번호가 없는상태)
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 애플리케이션은 설치와 동시에 사용자 기기를 감염시키며, 감염된 기기에서 민감한 개인 정보와 기기 정보를 탈취하는 악성 행위를 수행합니다. 구체적으로, 애플리케이션은 기기에 저장된 SMS 내용, 개인 전화번호, 사진 파일, 기기 모델 및 식별 정보 등을 수집한 뒤, 이를 외부 서버로 전송하여 유출합니다.
이러한 악성 행위는 사용자의 프라이버시를 심각하게 침해할 뿐만 아니라, 수집된 데이터를 악의적인 목적으로 활용할 가능성이 매우 높습니다. 따라서, 해당 애플리케이션 설치를 절대적으로 피하고, 이미 설치한 경우 즉시 삭제하는 것이 중요합니다. 또한, 출처가 불분명한 애플리케이션의 설치를 지양하며, 기기의 보안 설정을 강화하여 유사한 악성코드로부터 기기를 보호해야 합니다.
Ⅴ. 결론
1. 결론 및 대응 방안
SLOVES는 몸캠피싱 가해자들이 주로 유포하며, 설치된 기기에서 사용자의 정보를 탈취하는 악성 애플리케이션입니다. 특히, 이 앱은 기기 내 SMS 내용을 악용하여 몸캠 보이스 피싱과 같은 금융 사기를 유발할 수 있으며, 사용자는 심각한 2차 피해를 입을 가능성이 높습니다.
해당 악성코드에 감염된 경우, 기기 초기화와 같은 단독적인 조치를 서두르기보다는, 신뢰할 수 있는 백신 프로그램을 활용하여 악성코드를 감지하고, 이를 완벽히 삭제하는 것이 올바른 대응 방안입니다. 초기화는 데이터 복구와 같은 추가 문제를 야기할 수 있으므로, 악성코드 제거는 반드시 전문가의 지침이나 보안 소프트웨어를 이용해 진행하는 것이 바람직합니다.