안드로이드 악성코드 분석 보고서
(Secrat.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일 정보
항목내용
|
파일명 | Secrat.apk |
MD5 | D10995FDAFCE574E4A2524AC5EE80159 |
악성코드 명 | SMSstealer |
위험성 | 상 (High) |
탈취 정보 | 이름, 통신사, 전화번호, SMS 내용, 사진 등 |
유출지 | http://zcloud.solutions:80/prod-api/webapp/... |
개요:
본 악성코드는 SMSstealer 계열의 악성 앱으로, "Secrat.apk"를 설치하면 실행 시 기기 정보 및 개인 정보(SMS, 전화번호, 사진 등)를 탈취하여 지정된 서버로 전송하는 행위를 수행합니다. 이로 인해 사용자의 프라이버시 및 보안에 심각한 위협을 가할 수 있어 위험성을 상(上)으로 평가하였습니다.
2. 분석 환경
분석 유형도구
|
정적 분석 | Jadx-gui, IDA Pro |
동적 분석 | Android Studio, 실기기 |
네트워크 분석 | Wireshark |
분석 방법:
정적 분석: APK 파일을 디컴파일하여 소스 코드를 분석하였다. Jadx-gui와 IDA Pro를 사용하여 악성 코드의 동작 방식을 확인하였습니다.
동적 분석: 루팅된 실기기에 앱을 설치하여 실행 시의 동작을 관찰하였습니다.
네트워크 분석: Wireshark를 사용하여 악성 앱이 서버와 통신하는 패킷을 캡처 및 분석하였습니다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
권한 분석:
악성 앱은 사용자에게 다양한 권한을 요청하며, 이를 통해 기기 정보 및 개인 데이터에 접근합니다.
SMS 읽기/쓰기: SMS 메시지 내용 및 전화번호 탈취
저장소 접근: 갤러리 내 사진 및 동영상 탈취
기기 정보 접근: IMEI, 통신사 정보 등 고유 정보 수집
※ io.dcloud.PandoraEntry를 통해 외부 자원이나 플러그인이 로드되거나 실행될 가능성이 있어 주의해야합니다 또한 com.taobao.weex.WXGlobalEventReceiver가 외부 이벤트를 처리하여 이 클래스가 외부 서버에서 전달된 데이터를 수신하거나 실행할 가능성이 있기에 주의해야합니다.
위는 해당 악성앱의 아이콘입니다.
앱은 사용자에게 권한을 요청하고 있으나, 무단으로 디바이스 정보나 갤러리 내 사진이나 동영상 전체를 서버로 보내고 있다 상세내용은 아래와 같습니다.
위 코드는 TelephonyManagerCompat클래스 코드이며 해당코드에서 디바이스 고유정보(IMEI는 디바이스를 고유하게 식별하는 값)들을 가져와 유출지 서버로 보내게 됩니다.
갤러리 데이터 탈취:
FileUtil 클래스를 통해 갤러리 내 사진 및 동영상을 탈취하며,. 파일의 MIME 타입을 확인한 후, 확장자에 따라 데이터를 압축하여 서버로 전송합니다.
Case문을 사용하여 해당 데이터의 mime type을 확인하고 있습니다
이후 getFileTypeForSuffix(String str)을 통해 파일 확장자를 기반으로 MIME 타입을 반환합니다
실제 보내는 네트워크 패킷으로 보면 아래와 같습니다.
위 패킷은 기기 내 실제 저장된 jpeg를 유출지로 보내는 패킷입니다 (아래 증적은 실제저장된 사진)
네트워크 통신 분석:
와이어샤크를 통해 캡처한 패킷을 분석한 결과, 악성 앱은 TLS를 사용하여 암호화된 통신을 통해 데이터를 전송합니다.
실기기 IP: 172.30.1.6
유출지 서버 IP: 172.67.175.16
통신 과정-
Client Hello 및 Server Hello를 통해 TLS 세션 수립
암호화된 데이터 전송
유출지 서버 정보-
첫 번째 IP: 172.67.175.76
두 번째 IP: 104.21.17.78
와이어샤크 패킷을 보면 실기기와 유출지서버 간 통신이 정상적으로 이루어지며 client hello와 server hello로 tls를 수립하고, 그 이후 데이터를 전송하는 것을 확인할 수 있습니다.
(통신구간이 암호화되어있어 데이터는 암호화되어있음)
비밀톡은 이런식으로 앨범에서 이미지를 읽어와 압축한 후, 압축된 이미지를 서버(rpwhk.githud.cam)로 전송하여 업로드하는 기능을 구현하고 있다
유출지 ip는 본래 두개로 운영이 되었으며 현재는 172.67.175.76으로만 통신이 되고 있습니다.
유출지 서버 정보-
첫 번째 IP: 172.67.175.76
두 번째 IP: 104.21.17.78
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 애플리케이션은 설치 시 악성 코드에 감염된 기기의 주요 정보 및 민감한 개인 데이터를 무단으로 수집하여 외부 서버로 전송하는 악의적인 기능을 수행합니다. 탈취 대상에는 저장된 사진, 기기 정보 등이 포함될 수 있으며, 이를 통해 사용자의 프라이버시가 심각하게 침해될 위험이 있습니다. 따라서, 이용자들은 해당 애플리케이션의 설치 및 실행에 각별한 주의를 기울여야 합니다.
Ⅴ. 결론
1. 결론 및 대응 방안
“Secrat”는 몸캠사이트를 이용하여 설치되며 사용자의 기기정보와 갤러리 데이터를 탈취하는 악성apk입니다. 사용자가 선택하여 서버에 올리지 않은 모든 갤러리 데이터가 유출됨으로써 2차적 피해가 예상이 됩니다 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안입니다.
안드로이드 악성코드 분석 보고서
(Secrat.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일 정보
항목내용
개요:
본 악성코드는 SMSstealer 계열의 악성 앱으로, "Secrat.apk"를 설치하면 실행 시 기기 정보 및 개인 정보(SMS, 전화번호, 사진 등)를 탈취하여 지정된 서버로 전송하는 행위를 수행합니다. 이로 인해 사용자의 프라이버시 및 보안에 심각한 위협을 가할 수 있어 위험성을 상(上)으로 평가하였습니다.
2. 분석 환경
분석 유형도구
분석 방법:
정적 분석: APK 파일을 디컴파일하여 소스 코드를 분석하였다. Jadx-gui와 IDA Pro를 사용하여 악성 코드의 동작 방식을 확인하였습니다.
동적 분석: 루팅된 실기기에 앱을 설치하여 실행 시의 동작을 관찰하였습니다.
네트워크 분석: Wireshark를 사용하여 악성 앱이 서버와 통신하는 패킷을 캡처 및 분석하였습니다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
권한 분석:
악성 앱은 사용자에게 다양한 권한을 요청하며, 이를 통해 기기 정보 및 개인 데이터에 접근합니다.
SMS 읽기/쓰기: SMS 메시지 내용 및 전화번호 탈취
저장소 접근: 갤러리 내 사진 및 동영상 탈취
기기 정보 접근: IMEI, 통신사 정보 등 고유 정보 수집
※ io.dcloud.PandoraEntry를 통해 외부 자원이나 플러그인이 로드되거나 실행될 가능성이 있어 주의해야합니다 또한 com.taobao.weex.WXGlobalEventReceiver가 외부 이벤트를 처리하여 이 클래스가 외부 서버에서 전달된 데이터를 수신하거나 실행할 가능성이 있기에 주의해야합니다.
위는 해당 악성앱의 아이콘입니다.
앱은 사용자에게 권한을 요청하고 있으나, 무단으로 디바이스 정보나 갤러리 내 사진이나 동영상 전체를 서버로 보내고 있다 상세내용은 아래와 같습니다.
위 코드는 TelephonyManagerCompat클래스 코드이며 해당코드에서 디바이스 고유정보(IMEI는 디바이스를 고유하게 식별하는 값)들을 가져와 유출지 서버로 보내게 됩니다.
갤러리 데이터 탈취:
FileUtil 클래스를 통해 갤러리 내 사진 및 동영상을 탈취하며,. 파일의 MIME 타입을 확인한 후, 확장자에 따라 데이터를 압축하여 서버로 전송합니다.
Case문을 사용하여 해당 데이터의 mime type을 확인하고 있습니다
이후 getFileTypeForSuffix(String str)을 통해 파일 확장자를 기반으로 MIME 타입을 반환합니다
실제 보내는 네트워크 패킷으로 보면 아래와 같습니다.
위 패킷은 기기 내 실제 저장된 jpeg를 유출지로 보내는 패킷입니다 (아래 증적은 실제저장된 사진)
네트워크 통신 분석:
와이어샤크를 통해 캡처한 패킷을 분석한 결과, 악성 앱은 TLS를 사용하여 암호화된 통신을 통해 데이터를 전송합니다.
실기기 IP: 172.30.1.6
유출지 서버 IP: 172.67.175.16
통신 과정-
Client Hello 및 Server Hello를 통해 TLS 세션 수립
암호화된 데이터 전송
유출지 서버 정보-
첫 번째 IP: 172.67.175.76
두 번째 IP: 104.21.17.78
와이어샤크 패킷을 보면 실기기와 유출지서버 간 통신이 정상적으로 이루어지며 client hello와 server hello로 tls를 수립하고, 그 이후 데이터를 전송하는 것을 확인할 수 있습니다.
(통신구간이 암호화되어있어 데이터는 암호화되어있음)
비밀톡은 이런식으로 앨범에서 이미지를 읽어와 압축한 후, 압축된 이미지를 서버(rpwhk.githud.cam)로 전송하여 업로드하는 기능을 구현하고 있다
유출지 ip는 본래 두개로 운영이 되었으며 현재는 172.67.175.76으로만 통신이 되고 있습니다.
유출지 서버 정보-
첫 번째 IP: 172.67.175.76
두 번째 IP: 104.21.17.78
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 애플리케이션은 설치 시 악성 코드에 감염된 기기의 주요 정보 및 민감한 개인 데이터를 무단으로 수집하여 외부 서버로 전송하는 악의적인 기능을 수행합니다. 탈취 대상에는 저장된 사진, 기기 정보 등이 포함될 수 있으며, 이를 통해 사용자의 프라이버시가 심각하게 침해될 위험이 있습니다. 따라서, 이용자들은 해당 애플리케이션의 설치 및 실행에 각별한 주의를 기울여야 합니다.
Ⅴ. 결론
1. 결론 및 대응 방안
“Secrat”는 몸캠사이트를 이용하여 설치되며 사용자의 기기정보와 갤러리 데이터를 탈취하는 악성apk입니다. 사용자가 선택하여 서버에 올리지 않은 모든 갤러리 데이터가 유출됨으로써 2차적 피해가 예상이 됩니다 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안입니다.