안드로이드 악성코드 분석 보고서
(나만의비밀❤️.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명 | 9.22 _ lvoes.apk _ x _ m.loves19.com (2).apk |
MD5 | 3ec5767fc4b648aa4b0ae5d67f9db3a9 |
악성코드 명 | SMSstealer |
위험성 | 上 |
탈취정보 | 이름, 통신사, 전화번호, 내용 |
유출지 | http://zcloud.solutions:80/prod-api/webapp/... |
본 악성코드는 SMSstealer 계열의 악성 앱으로, “loves119.apk” 앱을 설치하면 된다. 실행 시 기기 정보 및 개인 정보(SMS 정보, 개인번호)를 탈취하여 유출지 서버로 전송하는 행위를 일으킨다.
Virustotal 에서 검색한 결과 위험도 안랩v3를 포함한 6개의 보안업체에서 악성으로 표시가 되있으므로 위험성을 상(上)으로 판단하였다.
2. 분석환경
정적분석도구 | Jadx-gui, ida pro |
동적분석도구 | Android studio, 실기기 |
네트워크 분석도구 | Wireshark |
본 분석 보고서에는 악성코드 정적 분석 및 동적 분석으로 나뉜다. 정적 분석에는 apk 파
일을 디컴파일(Decompile)하기 위한 도구로써 JEB를 이용하여 디컴파일 된 코드 분석을 하였
다.
동적 분석의 경우 실제 루팅된 분석기기에 설치하여 동작에 대한 분석을 하였다. 네트워크
분석에는 네트워크패킷 캡쳐기능을 이용하여 악성행위에 대한 패킷을 캡쳐하여 분석했다
3. 타 백신 현황
본 악성코드의 apk를 이용하여 Virustotal에서 검색한 결과, 안랩을 비롯한 4개의 보안업체에서 악성으로 판단한 것을 확인할 수 있었다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스를 분석하기 전에 해당 앱이 어떠한 권한을 가졌는지 확인하였다. 이를 분석하기 위해 본 보고서에는 Virustotal을 이용하였다. 아래 증적은 Virustotal을 이용하여 본 악성코드의 Android Manifest의 정보를 추출하고 권한(Permission)을 자동분석한 결과이다.
사용자의 민감한 정보에 접근하여 기존정보를 수정, 삭제하거나 데이터를 전송할 수 있는 권한들이므로 주의해야한다
위 권한들은 특정한 목적없이 사용되면 위험하다
위는 해당 악성앱의 아이콘이다
setComponentEnabledSetting등으로 아이콘 은닉을 시도하고 있지는 않다
앱은 앨범 접근 등의 권한만을 체크하고, 이외의 권한은 명시되어있거나 요청하고 있지 않단
DtcLoader에서는 앱이 구동될 때 loadlibrary를 통해 jgdtc라는 이름의 네이티브 라이브러리를 불러와 로드하는데 기본 경로인 /data/app/<패키지>/lib에서 로드한다
또한 m2a 메서드에서 c0000a.m3a를 통해 클래스명과 메소드명이 평문으로 드러나지 않도록 암호화가 되어있다
m3a메서드에서는 xor 0x10연산을 수행하여 평문 문자열을 감추고 있다
클래스, 메소드, 중요 리소스 경로등이 이 메소드를 통해 동적으로 복원되어 정적분석만으로는 알아내기 다소 어렵다
m5a 메서드를 통해 디비거를 탐지하여 분석환경(애뮬레이터, Frida)을 감지하면 false를 반환하도록 되어있다
(0xod82 fopen, 0x0dc3의 __read_chk, 0x0dce dlsym, dlopen, fread 등을 통해 동적라이브러리를 오픈 후 추가 악성모듈을 동적으로 로드 후 정보수집, 원격전송, 암호해제등을 수행하는 함수를 찾아 바인딩 후 정적분석 시 실행되는 함수를은닉하고 탐지회피 코드를 숨기고 있는것으로 보임)
해당 패킷을 보면 초대코드를 이용한 내부로 진입전까지 별다른 정보를 받아가지는 않는다
해당 악성앱은 위 증적처럼 c.appjiagu.com도메인을 통해 106.63.25.12와 통신하고 있으며 국가는 중국, 원난성이다
Libjiagu_x64.so에서 암호화된 dex 또는 추가 .so를 해당 도메인에서 get/post로 받는 것을 확인하였는데 이때 waf와 같은 실시간 감시가 없다면 악성서버 측에서 악성 모듈을 교체하여 업데이트가 가능함으로 위험하다
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 앱은 설치함으로써 감염된 기기의 정보 및 개인 정보(저장되어 있는 SMS 내용, 개인번호, 사진, 기기정보 등)를 탈취하여 유출지 서버로 전송하는 악성 행위를 한다. 사용자들의 각별한 주의가 필요하다.
Ⅴ. 결론
1. 결론 및 대응 방안
“SLOVES”는 성인사이트를 이용하여 설치되며 사용자의 기기정보를 탈취하는 악성앱이다. SMS 내용을 통해서 보이스 피싱을 유발할 수 있어 금융 관련하여 2차적 피해가 예상이 된다. 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안이다.
다음은 KISA에서 공표한 스마트폰 안전 수칙 10계명이다. 스미싱 악성코드로부터 안전할 수 있는 좋은 예방법이 될 것이다.
안드로이드 악성코드 분석 보고서
(나만의비밀❤️.apk)
목 차
Ⅰ. 악성코드 개요
1. 파일정보
2. 분석 환경
3. 타 백신 현황
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
2. 행위 기반 분석
Ⅳ. 피해 예상 및 대처
1. 피해 상황 및 예상
Ⅴ. 결론
1. 결론 및 대응 방안
Ⅰ. 악성코드 개요
1. 파일정보
파일명
9.22 _ lvoes.apk _ x _ m.loves19.com (2).apk
MD5
3ec5767fc4b648aa4b0ae5d67f9db3a9
악성코드 명
SMSstealer
위험성
上
탈취정보
이름, 통신사, 전화번호, 내용
유출지
http://zcloud.solutions:80/prod-api/webapp/...
본 악성코드는 SMSstealer 계열의 악성 앱으로, “loves119.apk” 앱을 설치하면 된다. 실행 시 기기 정보 및 개인 정보(SMS 정보, 개인번호)를 탈취하여 유출지 서버로 전송하는 행위를 일으킨다.
Virustotal 에서 검색한 결과 위험도 안랩v3를 포함한 6개의 보안업체에서 악성으로 표시가 되있으므로 위험성을 상(上)으로 판단하였다.
2. 분석환경
정적분석도구
Jadx-gui, ida pro
동적분석도구
Android studio, 실기기
네트워크 분석도구
Wireshark
본 분석 보고서에는 악성코드 정적 분석 및 동적 분석으로 나뉜다. 정적 분석에는 apk 파
일을 디컴파일(Decompile)하기 위한 도구로써 JEB를 이용하여 디컴파일 된 코드 분석을 하였
다.
동적 분석의 경우 실제 루팅된 분석기기에 설치하여 동작에 대한 분석을 하였다. 네트워크
분석에는 네트워크패킷 캡쳐기능을 이용하여 악성행위에 대한 패킷을 캡쳐하여 분석했다
3. 타 백신 현황
본 악성코드의 apk를 이용하여 Virustotal에서 검색한 결과, 안랩을 비롯한 4개의 보안업체에서 악성으로 판단한 것을 확인할 수 있었다.
Ⅱ. 악성 앱 구조 및 행위 분석
1. 리소스 분석
디컴파일 소스를 분석하기 전에 해당 앱이 어떠한 권한을 가졌는지 확인하였다. 이를 분석하기 위해 본 보고서에는 Virustotal을 이용하였다. 아래 증적은 Virustotal을 이용하여 본 악성코드의 Android Manifest의 정보를 추출하고 권한(Permission)을 자동분석한 결과이다.
사용자의 민감한 정보에 접근하여 기존정보를 수정, 삭제하거나 데이터를 전송할 수 있는 권한들이므로 주의해야한다
위 권한들은 특정한 목적없이 사용되면 위험하다
위는 해당 악성앱의 아이콘이다
setComponentEnabledSetting등으로 아이콘 은닉을 시도하고 있지는 않다
앱은 앨범 접근 등의 권한만을 체크하고, 이외의 권한은 명시되어있거나 요청하고 있지 않단
DtcLoader에서는 앱이 구동될 때 loadlibrary를 통해 jgdtc라는 이름의 네이티브 라이브러리를 불러와 로드하는데 기본 경로인 /data/app/<패키지>/lib에서 로드한다
또한 m2a 메서드에서 c0000a.m3a를 통해 클래스명과 메소드명이 평문으로 드러나지 않도록 암호화가 되어있다
m3a메서드에서는 xor 0x10연산을 수행하여 평문 문자열을 감추고 있다
클래스, 메소드, 중요 리소스 경로등이 이 메소드를 통해 동적으로 복원되어 정적분석만으로는 알아내기 다소 어렵다
m5a 메서드를 통해 디비거를 탐지하여 분석환경(애뮬레이터, Frida)을 감지하면 false를 반환하도록 되어있다
(0xod82 fopen, 0x0dc3의 __read_chk, 0x0dce dlsym, dlopen, fread 등을 통해 동적라이브러리를 오픈 후 추가 악성모듈을 동적으로 로드 후 정보수집, 원격전송, 암호해제등을 수행하는 함수를 찾아 바인딩 후 정적분석 시 실행되는 함수를은닉하고 탐지회피 코드를 숨기고 있는것으로 보임)
해당 패킷을 보면 초대코드를 이용한 내부로 진입전까지 별다른 정보를 받아가지는 않는다
해당 악성앱은 위 증적처럼 c.appjiagu.com도메인을 통해 106.63.25.12와 통신하고 있으며 국가는 중국, 원난성이다
Libjiagu_x64.so에서 암호화된 dex 또는 추가 .so를 해당 도메인에서 get/post로 받는 것을 확인하였는데 이때 waf와 같은 실시간 감시가 없다면 악성서버 측에서 악성 모듈을 교체하여 업데이트가 가능함으로 위험하다
Ⅳ. 피해 예상
1. 피해 상황 예상
해당 앱은 설치함으로써 감염된 기기의 정보 및 개인 정보(저장되어 있는 SMS 내용, 개인번호, 사진, 기기정보 등)를 탈취하여 유출지 서버로 전송하는 악성 행위를 한다. 사용자들의 각별한 주의가 필요하다.
Ⅴ. 결론
1. 결론 및 대응 방안
“SLOVES”는 성인사이트를 이용하여 설치되며 사용자의 기기정보를 탈취하는 악성앱이다. SMS 내용을 통해서 보이스 피싱을 유발할 수 있어 금융 관련하여 2차적 피해가 예상이 된다. 본 악성코드에 감염이 되면 기기 초기화 같은 단독적인 판단을 피하고 백신으로 감지하여 확실하게 지울 수 있도록 해두는 것이 올바른 대응 방안이다.
다음은 KISA에서 공표한 스마트폰 안전 수칙 10계명이다. 스미싱 악성코드로부터 안전할 수 있는 좋은 예방법이 될 것이다.