본문 바로가기

Android/Smishing

관리자 권한 해제 방해하는 악성앱 해제법

반응형

http://www.dailysecu.com/news_view.php?article_id=8598


해당 기사가 나가서 글을 한번 써 봤습니다. (비오비 하는중에 잠깐 짬내서..) 


해당 앱은 관리자 권한을 해제하는걸 방해하는 악성 앱 입니다.

요즘 악성 앱들은 삭제하는걸 방해하기 위해 기기 관리자 권한을 이용하는데요.


아래 사진을 보면 더 정확하게 알 수 있습니다.

해당 악성 앱인 com.games.dsdmnss 의 PID를 보면 1208인 걸 알 수 있습니다.

이걸 일단 죽여버리고 얼마동안 지나게 되면 새로운 프로세스를 생성합니다.

그리고 삭제를 시도할려고 하면 "실패"라고 항상 뜨게 됩니다 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ

살려줘 ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ


이게 왜 그런가 분석을 해 보기 위해 로그를 한번 살펴 봤습니다.


Process가 죽고 난 후에 얼마 뒤에 자동적으로 살아나는걸 볼 수 있습니다.

새로운 프로세스를 하나 생성하고, 죽으면 다시 살리는 좀비 형태의 악성코드 인 걸 확인할 수 있습니다.


코드 분석은 귀찮아서 안하겠습니다. (혹시 따로 필요하시면 뵤비 센터 오시면 되겠습니다. 비오비 거주자라)


이건 기기 관리자로 해당 앱을 삭제하려고 시도했을 때의 로그입니다. 

해당 앱을 삭제하려고 하면, 해당 내용을 가져와서 다시 MAIN호출을 함으로써 기기 관리자 비활성화를 방해하게 되는 것 입니다. ㅠㅠ


근데 이걸 어떻게 없애냐!..? 는

일단 이 기술을 보면 안드로이드 내에 스케쥴링을 이용해서 다시 살리는 건데요.

현재 카톡 등 다양한 앱들이 해당 기술을 사용하고 있습니다. 의도치 않은 방법으로 프로세스가 죽은 경우에 자동적으로 다시 살아날 수 있도록 

하기 위해서지요.


근데 다시 살아나는 데에는 최대 10초 정도의 시간이 소요됩니다. 이 떄를 이용해서 삭제하시면 됩니다.

일단 해당 프로세스를 알아와 삭제한 후, 시간차를 이용해 기기 관리자를 비활성화 하는 것 입니다. 

그렇게 되면 프로세스가 살아나기 전에 기기 관리자 권한이 해제되어 삭제할 수 있게 되는 것 입니다.

해당 기사에서는 안전모드로 부팅해서 삭제하라고 했지만, 이러한 방법이 있다는 것도..?


사실.. 바뻐서 할 말은 많지만 더 이상 쓸 수 없다는거.. ㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠㅠ

경연단계 진행하면서 알게된 것들이나 이것저것은 블로그에 계속 정리하도록 하겠습니다.



반응형