근 6개월만에 분석 내용을 써보는것 같습니다..
스미싱몬 개발이니 유지보수 때문에 분석보고서를 따로 쓸 시간이 없었는데,
이번에 분석할 악성코드는 분석하기에 충분한 가치가 느껴져 분석보고서를 작성해 봅니다.
(이거 끝나고 또 소스 고치러 가야..하는 흑)
분석하기 전
이번 분석에서는 작성자의 사정으로 동적 분석한 내용은 작성하지 않았습니다.
참고 부탁드립니다.
일단 악성코드 분석의 기본, classes.dex 파일을 분석해 보았습니다.
(classes.dex 파일에 대한 설명은 하지 않도록 하겠습니다. 나중에 이 파일에 대해 기회가 되면 설명을..)
음...? System.loadLibrary("googlekernel"); 이라니.
JNI (Java Native Interface) 기반 악성코드는 6월달 이후 없을줄 알았는데...;; 컥
제 분석력에 한계가... 는 무슨 일단 뜯어 보았습니다.
lib\armeabi\libgooglekernel.so 파일이 실제 존재하네요
이걸 뭐로 분석할까... 는 분석툴의 신급인 IDA를 이용해 보았습니다
꺄 ARM 이다
ARM 보니 ARM걸릴거 같군요. ㅠㅠ (드립이 아니라 저는 ARM에 대한 공부를 6월달부터 틈틈히..라 ㅠㅠ)
일단 무조건 분석해 보기로 하고 Relax하며 분석을 시작했습니다.
그...그런데?
문자메시지 보내는 기능이 그 안에 딱 박혀있는 겁니다 :)
근데 딱히 중요한 내용은 아니고.. 4월쯤에 발견된 SMS를 전송하여 휴대폰의 상태를 확인하는 악성코드와 비슷한 기능인거 같습니다.
언제든 제작자가 이 기능을 활성화 시킬수 있다는거
그리고 쭉 내려다가 보니
뭔가 설치할 수 있게 하였습니다.
아래에는 바로 삭제 코드가 있지만, 사진은 첨부하지 않겠습니다.
와 근데 살펴보니 Exception Handling을 잘 하였네요
그리고 악성코드 다운로드 받는 URL도 나름 작업을..
C&C 서버에 접속 준비!
위 사진은 일반 앱이 아니라 시스템 앱으로 다운로드 받은 악성코드로 인식시켜 설치하게 되어있습니다.
이 악성코드가 설치되면 부팅 과정에서 악성코드가 시스템 앱으로 인식되어 자동으로 실행하게 되고,
삭제 할려고 해도 root권한이 박혀 있어서 삭제도 못하는... 상황이 벌어지게 되는 것 입니다.
동적분석은 일단 좀 자고 와서 해야겠군요 ㅠㅠ
이상으로 분석보고서 - 작성을 마치겠습니다.
감사합니다.
많은 내용을 담지 못해... 죄송합니다. ㅠㅠ
혹시 이 악성코드에 대해 자세한 질문을 하시고 싶으신 분은
admin@smishing.kr 이나 goodboy@ntma.co.kr 으로 연락주시면
친절하게 응대해 드리니! 언제나 질문 주시기 바랍니다 :)
(물론 지금 고3에 발표 준비에 바뻐서.. 제대로 될련지..)
P.S
이번 분석을 위해 친히 학교를 안나가도 되게 허락해 주신 담임샘과, 수학샘에게 무한한 감사를 드리고
분석하느라 버려진 제 새로운 기하와 벡터, 적분과 통계, EBS 수능특강 등 고3에게 필요한 모든 수험책에게 무한한 미안함을 느낍니다.
'Android > Android Analysis' 카테고리의 다른 글
안드로이드 일부 단말기에서 4yougate.com 사이트로 연결되는 문제에 관한 내용 (2) | 2014.04.09 |
---|---|
MD5 Hash Viewer (0) | 2014.03.29 |
difference between dex2jar and d2j-dex2jar (0) | 2014.02.17 |
안드로이드 APK 파일 분석용 OS (0) | 2013.09.29 |
[Android Reverse Engineering] Hello World (0) | 2013.07.06 |