본문 바로가기

Android/Smishing

Smart Touch 사칭 안드로이드 악성코드 분석

반응형

요즘 안드로이드 악성코드보다 다른일을 많이 하다보니 분석할 일이 많이 없었는데

이게 핫하게 올라와서 분석 한번 해봤습니다.


오랜만에 하니 재밌네용


일단 악성코드 분석 하기 전에 구조를 보고 추측하는 습관이 있는데

딱 보니깐 assets에 DEX 파일 넣어둔 것 하며, APKProtect 사용한 것 하며, 메일 전송을 위한 외부 라이브러리 사용, DEVICE_ADMIN을 위해 admin.xml 사용한 것 하며, MSG.RSA 인 것 보니 옛날에 쓰던 거 아직도 쓰나 봅니다. 싱기


일단 이거 통해서 기본적으로 추측할 수 있었습니다.

- 기기 관리자를 통해 삭제 방해

- Secondary DEX 파일 로딩을 통함, 단순 classes.dex는 그냥 loader로 작용함

- APKProtect를 통해 분석 방해

- 해당 정보를 이메일로 전송

...

이러한 정보가 있습니다. 심지어 libgame.so 파일명은 공유기 파밍을 통해서 안드로이드 악성코드 유포 시절이나, 스미싱 악성코드 유포 시절에도 사용하던 것인데.. 아직도 쓰네용


전 미개한 DEX2JAR는 사용하지 않으므로 smali코드로 보겠습니다 ㅈㅅ


com/cocos2d/oui.../ 해당 디렉토리에 들어가 보니, 악성코드 실행 경로가 있었습니다. ㅎㅎ



캬 덱스 파일 로딩하는 메쏘드..


역시 부팅 완료되면 자동으로 할 수 있도록 리시버에 등!록


뭐 기타 서비스 등 여러개.. 합니다 ㅎㅎ


그래서 일단 메인인 a.dex 파일을 보니..깐?




헬로 에브리원ㅎ


다양한 기능들을 하고 계십니다 app/plg_v67이 ㅎㅎ



일단 가상기기인지 전화번호를 통해서 전화번호 시작 주소가 15555로 하면.. 뿩뀨 한 다음




일단 각 은행 앱들의 패키지명을 array에 넣은 다음에 이런 앱들이 설치되어 있는지 확인한 다음, 설치되어 있으면 삭제 후 바꿔치기 합니다.


정리해 보면

- 은행 앱 가로채기를 통한 개인정보 유출


옛날이나 지금이나 바뀐게 없네요


전 이만 다시 하던 일이나 하러 가겠습니다 사장님이 혼내요

반응형