const-string v1, "BLOG.SMISHING.KR"

Smart Touch 사칭 안드로이드 악성코드 분석 본문

Android/Smishing

Smart Touch 사칭 안드로이드 악성코드 분석

bunseokbot 2015.06.06 01:39

요즘 안드로이드 악성코드보다 다른일을 많이 하다보니 분석할 일이 많이 없었는데

이게 핫하게 올라와서 분석 한번 해봤습니다.


오랜만에 하니 재밌네용


일단 악성코드 분석 하기 전에 구조를 보고 추측하는 습관이 있는데

딱 보니깐 assets에 DEX 파일 넣어둔 것 하며, APKProtect 사용한 것 하며, 메일 전송을 위한 외부 라이브러리 사용, DEVICE_ADMIN을 위해 admin.xml 사용한 것 하며, MSG.RSA 인 것 보니 옛날에 쓰던 거 아직도 쓰나 봅니다. 싱기


일단 이거 통해서 기본적으로 추측할 수 있었습니다.

- 기기 관리자를 통해 삭제 방해

- Secondary DEX 파일 로딩을 통함, 단순 classes.dex는 그냥 loader로 작용함

- APKProtect를 통해 분석 방해

- 해당 정보를 이메일로 전송

...

이러한 정보가 있습니다. 심지어 libgame.so 파일명은 공유기 파밍을 통해서 안드로이드 악성코드 유포 시절이나, 스미싱 악성코드 유포 시절에도 사용하던 것인데.. 아직도 쓰네용


전 미개한 DEX2JAR는 사용하지 않으므로 smali코드로 보겠습니다 ㅈㅅ


com/cocos2d/oui.../ 해당 디렉토리에 들어가 보니, 악성코드 실행 경로가 있었습니다. ㅎㅎ



캬 덱스 파일 로딩하는 메쏘드..


역시 부팅 완료되면 자동으로 할 수 있도록 리시버에 등!록


뭐 기타 서비스 등 여러개.. 합니다 ㅎㅎ


그래서 일단 메인인 a.dex 파일을 보니..깐?




헬로 에브리원ㅎ


다양한 기능들을 하고 계십니다 app/plg_v67이 ㅎㅎ



일단 가상기기인지 전화번호를 통해서 전화번호 시작 주소가 15555로 하면.. 뿩뀨 한 다음




일단 각 은행 앱들의 패키지명을 array에 넣은 다음에 이런 앱들이 설치되어 있는지 확인한 다음, 설치되어 있으면 삭제 후 바꿔치기 합니다.


정리해 보면

- 은행 앱 가로채기를 통한 개인정보 유출


옛날이나 지금이나 바뀐게 없네요


전 이만 다시 하던 일이나 하러 가겠습니다 사장님이 혼내요

7 Comments
댓글쓰기 폼