안드로이드 악성코드 의심 분석 보고서
(무료사진 숨기기.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명 | 무료사진 숨기기.apk |
MD5 | 8150f34d3bc198fe736988f8a3d4f788 |
악성코드 명 | - |
위험성 | 上 |
탈취정보 | - |
유출지 | - |
본 악성코드 의심앱은 “무료사진 숨기기.apk”으로 실행 시 명확하게기기정보나 개인정보등을 유출지로 전송하는 행위를 발견하지 못했지만 몇몇 의심행위가 있는 코드를 갖고있다.
Virustotal 에서 검색한 결과 위험도 안랩v3를 포함한 22개의 보안업체에서 악성으로 표시가 되있으므로 위험성을 상(上)으로 판단하였다.
2. 분석환경
정적분석도구 | Jadx-gui, ida pro |
동적분석도구 | Android studio, 실기기 |
네트워크 분석도구 | Wireshark |
본 분석 보고서에는 악성코드 정적 분석 및 동적 분석으로 나뉜다. 정적 분석에는 apk 파
일을 디컴파일(Decompile)하기 위한 도구로써 JEB를 이용하여 디컴파일 된 코드 분석을 하였
다.
동적 분석의 경우 실제 루팅된 분석기기에 설치하여 동작에 대한 분석을 하였다. 네트워크
분석에는 네트워크패킷 캡쳐기능을 이용하여 악성행위에 대한 패킷을 캡쳐하여 분석했다
(현 앱은 앱 내 데이터를 암복호화하는 코드로 인해 패킷이 모두 암호화되어있음)
3. 타 백신 현황
본 악성코드의 apk를 이용하여 Virustotal에서 검색한 결과, 안랩을 비롯한 22개의 보안업체에서 악성으로 판단한 것을 확인할 수 있다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스를 분석하기 전에 해당 앱이 어떠한 권한을 가졌는지 확인하였다. 이를 분석하기 위해 본 보고서에는 Virustotal을 이용하였다. 아래 증적은 Virustotal을 이용하여 본 악성코드의 Android Manifest의 정보를 추출하고 권한(Permission)을 자동분석한 결과이다.
- android.permission.WRITE_EXTERNAL_STORAGE
외부 저장소에 파일을 생성하거나 수정가능한 기능으로 악성코드가 기기 내 중요파일을 변조하거나 삭제할 수 있고, 랜섬웨어처럼 파일 암호화 후 몸값을 요구하는 공격에 악용될 수 있음
- android.permission.READ_EXTERNAL_STORAGE
외부 저장소에 저장된 모든 파일을 읽을 수 있어 사용자의 사진, 문서, 다운로드한 파일 등을 훔쳐볼 수 있고 민감한 정보(계정정보, 금융 관련 문서 등)가 유출될 수 있음)
- android.permission.READ_SMS, android.permission.RECEIVE_SMS
기기로 수신된 SMS를 읽거나, 가로챌 수 있어 민감한 메세지등을 가로채거나 스팸 및 피싱 공격을 위한 정보 수집이 가능하다
위와 같은 권한들로 해당 앱이 악성앱인걸 충분히 의심해 볼 수 있다
위는 해당 악성 의심 앱의 아이콘이다
setComponentEnabledSetting등으로 아이콘 은닉하는 행위 등으로 사용자가 앱을 쉽게 삭제하지 못하도록 하는 행위는 하고 있지 않다
앱은 SMS, 연락처, 위치, 등의 권한을 체크하고, 권한이 없으면 사용자에게 권한을 요청하고 있다
앱 코드 내 AES방식으로 데이터를 암호화하는 부분이다 (C0004c 클래스)
이를 사용해 사용자의 중요한 데이터를 암호화하여 외부 서버로 전송할 수 있다
예를들어, 사용자의 로그인 정보나 기타 민감한 데이터를 암호화하여 서버로 보내는 형태로 악용될 수 있다.
RSA 암호화 및 서명 하는 코드도 존재한다 (C0006e 클래스)
RSA 서명도 데이터 무결성을 확인하는 방법으로 사용되고 이과정에서 악성 앱이 서명된 데이터를 생성하고 이를 서버로 전송할 수 있어 암호화된 인증서나 데이터를 서버와 통신될 때 악용될 수 있다.
m16b메소드는 파일 이름을 체크하여 ‘.apk’확장자가 있는지 확인한다 이 자체는 악성행위로 해당되지 않을수도 있지만, 악성 apk파일을 자동으로 인식하고 처리하여 특정 악성 apk파일을 탐지 후 해당파일을 자동으로 실행하거나 처리할 수 있는 기능이 숨어있을 수 있다.
m18a 메소드는 /sdcard 경로를 스택에 푸시하고 있다 이는 외부 저장소에 접근하려는 의도로 sdcard나 외부 저장소에 파일을 저장하거나, 악성 데이트를 삽입하여 이경로를 활영하여 악성코드를 외부에 저장하거나 읽을 수 있다.
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 앱은 설치된 이후 감염된 기기의 정보 및 개인 정보(저장되어 있는 중요정보 등)를 탈취하여 암호화 작업을 하고 있다
Ⅴ. 결론
1. 결론 및 대응 방안
“무료사진 숨기기”앱은 유출지 서버로 전송하거나 유출지 주소를 알아내지 못했지만, virustotal과 앱 내부 코드들(/sdcard 저장행위, .apk파일 검색행위, 외부 저장소 접근행위등)을 통해 악성앱일 가능성이 높아 사용자들의 각별한 주의가 필요하다. 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안이다.
다음은 KISA에서 공표한 스마트폰 안전 수칙 10계명이다. 스미싱 악성코드로부터 안전할 수 있는 좋은 예방법이 될 것이다.
안드로이드 악성코드 의심 분석 보고서
(무료사진 숨기기.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명
무료사진 숨기기.apk
MD5
8150f34d3bc198fe736988f8a3d4f788
악성코드 명
-
위험성
上
탈취정보
-
유출지
-
본 악성코드 의심앱은 “무료사진 숨기기.apk”으로 실행 시 명확하게기기정보나 개인정보등을 유출지로 전송하는 행위를 발견하지 못했지만 몇몇 의심행위가 있는 코드를 갖고있다.
Virustotal 에서 검색한 결과 위험도 안랩v3를 포함한 22개의 보안업체에서 악성으로 표시가 되있으므로 위험성을 상(上)으로 판단하였다.
2. 분석환경
정적분석도구
Jadx-gui, ida pro
동적분석도구
Android studio, 실기기
네트워크 분석도구
Wireshark
본 분석 보고서에는 악성코드 정적 분석 및 동적 분석으로 나뉜다. 정적 분석에는 apk 파
일을 디컴파일(Decompile)하기 위한 도구로써 JEB를 이용하여 디컴파일 된 코드 분석을 하였
다.
동적 분석의 경우 실제 루팅된 분석기기에 설치하여 동작에 대한 분석을 하였다. 네트워크
분석에는 네트워크패킷 캡쳐기능을 이용하여 악성행위에 대한 패킷을 캡쳐하여 분석했다
(현 앱은 앱 내 데이터를 암복호화하는 코드로 인해 패킷이 모두 암호화되어있음)
3. 타 백신 현황
본 악성코드의 apk를 이용하여 Virustotal에서 검색한 결과, 안랩을 비롯한 22개의 보안업체에서 악성으로 판단한 것을 확인할 수 있다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스를 분석하기 전에 해당 앱이 어떠한 권한을 가졌는지 확인하였다. 이를 분석하기 위해 본 보고서에는 Virustotal을 이용하였다. 아래 증적은 Virustotal을 이용하여 본 악성코드의 Android Manifest의 정보를 추출하고 권한(Permission)을 자동분석한 결과이다.
- android.permission.WRITE_EXTERNAL_STORAGE
외부 저장소에 파일을 생성하거나 수정가능한 기능으로 악성코드가 기기 내 중요파일을 변조하거나 삭제할 수 있고, 랜섬웨어처럼 파일 암호화 후 몸값을 요구하는 공격에 악용될 수 있음
- android.permission.READ_EXTERNAL_STORAGE
외부 저장소에 저장된 모든 파일을 읽을 수 있어 사용자의 사진, 문서, 다운로드한 파일 등을 훔쳐볼 수 있고 민감한 정보(계정정보, 금융 관련 문서 등)가 유출될 수 있음)
- android.permission.READ_SMS, android.permission.RECEIVE_SMS
기기로 수신된 SMS를 읽거나, 가로챌 수 있어 민감한 메세지등을 가로채거나 스팸 및 피싱 공격을 위한 정보 수집이 가능하다
위와 같은 권한들로 해당 앱이 악성앱인걸 충분히 의심해 볼 수 있다
위는 해당 악성 의심 앱의 아이콘이다
setComponentEnabledSetting등으로 아이콘 은닉하는 행위 등으로 사용자가 앱을 쉽게 삭제하지 못하도록 하는 행위는 하고 있지 않다
앱은 SMS, 연락처, 위치, 등의 권한을 체크하고, 권한이 없으면 사용자에게 권한을 요청하고 있다
앱 코드 내 AES방식으로 데이터를 암호화하는 부분이다 (C0004c 클래스)
이를 사용해 사용자의 중요한 데이터를 암호화하여 외부 서버로 전송할 수 있다
예를들어, 사용자의 로그인 정보나 기타 민감한 데이터를 암호화하여 서버로 보내는 형태로 악용될 수 있다.
RSA 암호화 및 서명 하는 코드도 존재한다 (C0006e 클래스)
RSA 서명도 데이터 무결성을 확인하는 방법으로 사용되고 이과정에서 악성 앱이 서명된 데이터를 생성하고 이를 서버로 전송할 수 있어 암호화된 인증서나 데이터를 서버와 통신될 때 악용될 수 있다.
m16b메소드는 파일 이름을 체크하여 ‘.apk’확장자가 있는지 확인한다 이 자체는 악성행위로 해당되지 않을수도 있지만, 악성 apk파일을 자동으로 인식하고 처리하여 특정 악성 apk파일을 탐지 후 해당파일을 자동으로 실행하거나 처리할 수 있는 기능이 숨어있을 수 있다.
m18a 메소드는 /sdcard 경로를 스택에 푸시하고 있다 이는 외부 저장소에 접근하려는 의도로 sdcard나 외부 저장소에 파일을 저장하거나, 악성 데이트를 삽입하여 이경로를 활영하여 악성코드를 외부에 저장하거나 읽을 수 있다.
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 앱은 설치된 이후 감염된 기기의 정보 및 개인 정보(저장되어 있는 중요정보 등)를 탈취하여 암호화 작업을 하고 있다
Ⅴ. 결론
1. 결론 및 대응 방안
“무료사진 숨기기”앱은 유출지 서버로 전송하거나 유출지 주소를 알아내지 못했지만, virustotal과 앱 내부 코드들(/sdcard 저장행위, .apk파일 검색행위, 외부 저장소 접근행위등)을 통해 악성앱일 가능성이 높아 사용자들의 각별한 주의가 필요하다. 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안이다.
다음은 KISA에서 공표한 스마트폰 안전 수칙 10계명이다. 스미싱 악성코드로부터 안전할 수 있는 좋은 예방법이 될 것이다.