const-string v1, "BLOG.SMISHING.KR"

FBI를 사칭한 안드로이드 랜섬웨어 분석 본문

Android/Android Malware

FBI를 사칭한 안드로이드 랜섬웨어 분석

bunseokbot 2014.12.23 21:54

오늘도 역시 계속 밀라누나의 사이트를 뒤적거리던 중..

FBI를 사칭한 안드로이드 랜섬웨어를 발견하게 되었습니다! (2014년 12월 21일 업로드본)


그래서 분석을 하게 되었는데요.. 

원래 사실은 안할려고 했는데.. 



컴퓨터가 하라고 시키네요 젠-장


뭐 어쨌든 원래 하던대로.. 디컴파일 진행하기 전에 기초 정보들을 보면..?


MainActivity가 시작점인 악성코드임을 확인할 수 있습니다.


그를 기반으로 MainActivity의 onCreate method를 보면...?



keyguard를 실행하고, IMEI 정보를 가져오게 되네요.


그리고 아래를 더 보게 되면


에헤헤 BackgroundService가 시작되고, 기기 관리자가 실행됩니다.

아래 method는 기기 관리자를 처음 설정하는 부분입니다.



악성코드의 필수품 DEVICE_ADMIN! 

저기 ADD_EXPLANATION 부분에 키릴 문자(러시아어) 내용은 우리나라 말로 하면 "라이선스 계약" 이란

뜻이라네요. (노예계약인가..)


그 외 악성코드 행위를 요약해 보면, AES 암호화를 통해 외부 저장소에 저장된 모든 파일을 암호화 합니다.

물론 키는 random-generate 라서 알아낼 수 없습니다 :(



내 노예가 되신 것을 환영합니다.


그리고 돈을 요구하게 되고 만약에 그쪽에서 돈이 입금된걸 확인하면, 앱을 착하게 삭제해줍니다.. 

(와.. 겁나 감사하다)



이렇게 신기한 악성코드를 어떻게 설치해 보지 않을 수 있겠습니까!!!!!

"그래서 제가 직접 한번 깔아보았습니다. - 가상에" (제 폰은 아이폰이니깐요)


설치!!!! Flash Player라는 앱(을 가장한 악성코드)이 오늘의 악성코드!

항상 물어보는 기기 관리자..

실행하니 뭐라 쏼라쏼라 빨간 글씨로 써있습니다.

대충 내용은 "너님 폰에서 아청아청한 영상이 나옴 - 내가 잠궈줌 - 철컹철컹함"


그리고 싫으면 300달러 MoneyPak code 입력하셈 이라고 합니다.

(사실 진짜 FBI는 이런거 없이 그냥 "FBI!!!!" 이러면서 여러분의 문을 두들길 겁니다)

친절하게 어디서 살 수 있는지도 알려줍니다 (와 친절함)


저는 돈이 없는데다가, 있어도 저런데다가 쓸 수 없고, 거기다가 전 살 수도 없는 환경이라 그냥 삭제해 

버렸습니다.


사실 기기 관리자가 락을 걸어버려서 삭제는 그냥 못합니다.

/data/data/com.android.locker/ 영역의 모든 내용을 삭제한 후에 프로세스를 명령어로 꺼버리시면 됩니다!


자세한 실행 모습이나, 삭제 방법에 대해 보고 싶으신 분은 아래 유튜브 영상으로 가시면 됩니다 :)


http://youtu.be/QuF5wWgH5ME




0 Comments
댓글쓰기 폼