Android bootkit Oldboot 분석

근 6개월만에 분석 내용을 써보는것 같습니다..

스미싱몬 개발이니 유지보수 때문에 분석보고서를 따로 쓸 시간이 없었는데, 

이번에 분석할 악성코드는 분석하기에 충분한 가치가 느껴져 분석보고서를 작성해 봅니다.

(이거 끝나고 또 소스 고치러 가야..하는 흑)

분석하기 전

이번 분석에서는 작성자의 사정으로 동적 분석한 내용은 작성하지 않았습니다.

참고 부탁드립니다.

일단 악성코드 분석의 기본, classes.dex 파일을 분석해 보았습니다.

(classes.dex 파일에 대한 설명은 하지 않도록 하겠습니다. 나중에 이 파일에 대해 기회가 되면 설명을..)

음...? System.loadLibrary("googlekernel"); 이라니.

JNI (Java Native Interface) 기반 악성코드는 6월달 이후 없을줄 알았는데...;; 컥

제 분석력에 한계가... 는 무슨 일단 뜯어 보았습니다.

lib\armeabi\libgooglekernel.so 파일이 실제 존재하네요

이걸 뭐로 분석할까... 는 분석툴의 신급인 IDA를 이용해 보았습니다

꺄 ARM 이다

ARM 보니 ARM걸릴거 같군요. ㅠㅠ (드립이 아니라 저는 ARM에 대한 공부를 6월달부터 틈틈히..라 ㅠㅠ)

일단 무조건 분석해 보기로 하고 Relax하며 분석을 시작했습니다.

그...그런데?

문자메시지 보내는 기능이 그 안에 딱 박혀있는 겁니다 :)

근데 딱히 중요한 내용은 아니고.. 4월쯤에 발견된 SMS를 전송하여 휴대폰의 상태를 확인하는 악성코드와 비슷한 기능인거 같습니다.

언제든 제작자가 이 기능을 활성화 시킬수 있다는거

그리고 쭉 내려다가 보니

뭔가 설치할 수 있게 하였습니다.

아래에는 바로 삭제 코드가 있지만, 사진은 첨부하지 않겠습니다.

와 근데 살펴보니 Exception Handling을 잘 하였네요

그리고 악성코드 다운로드 받는 URL도 나름 작업을..

C&C 서버에 접속 준비!

위 사진은 일반 앱이 아니라 시스템 앱으로 다운로드 받은 악성코드로 인식시켜 설치하게 되어있습니다.

이 악성코드가 설치되면 부팅 과정에서 악성코드가 시스템 앱으로 인식되어 자동으로 실행하게 되고, 

삭제 할려고 해도 root권한이 박혀 있어서 삭제도 못하는... 상황이 벌어지게 되는 것 입니다.

동적분석은 일단 좀 자고 와서 해야겠군요 ㅠㅠ

 

이상으로 분석보고서 - 작성을 마치겠습니다.

감사합니다.

많은 내용을 담지 못해... 죄송합니다. ㅠㅠ

혹시 이 악성코드에 대해 자세한 질문을 하시고 싶으신 분은

admin@smishing.kr 이나 goodboy@ntma.co.kr 으로 연락주시면

친절하게 응대해 드리니! 언제나 질문 주시기 바랍니다 :)

(물론 지금 고3에 발표 준비에 바뻐서.. 제대로 될련지..)

P.S 

이번 분석을 위해 친히 학교를 안나가도 되게 허락해 주신 담임샘과, 수학샘에게 무한한 감사를 드리고

분석하느라 버려진 제 새로운 기하와 벡터, 적분과 통계, EBS 수능특강 등 고3에게 필요한 모든 수험책에게 무한한 미안함을 느낍니다.