요즘 안드로이드 악성코드보다 다른일을 많이 하다보니 분석할 일이 많이 없었는데
이게 핫하게 올라와서 분석 한번 해봤습니다.
오랜만에 하니 재밌네용
일단 악성코드 분석 하기 전에 구조를 보고 추측하는 습관이 있는데
딱 보니깐 assets에 DEX 파일 넣어둔 것 하며, APKProtect 사용한 것 하며, 메일 전송을 위한 외부 라이브러리 사용, DEVICE_ADMIN을 위해 admin.xml 사용한 것 하며, MSG.RSA 인 것 보니 옛날에 쓰던 거 아직도 쓰나 봅니다. 싱기
일단 이거 통해서 기본적으로 추측할 수 있었습니다.
- 기기 관리자를 통해 삭제 방해
- Secondary DEX 파일 로딩을 통함, 단순 classes.dex는 그냥 loader로 작용함
- APKProtect를 통해 분석 방해
- 해당 정보를 이메일로 전송
...
이러한 정보가 있습니다. 심지어 libgame.so 파일명은 공유기 파밍을 통해서 안드로이드 악성코드 유포 시절이나, 스미싱 악성코드 유포 시절에도 사용하던 것인데.. 아직도 쓰네용
전 미개한 DEX2JAR는 사용하지 않으므로 smali코드로 보겠습니다 ㅈㅅ
com/cocos2d/oui.../ 해당 디렉토리에 들어가 보니, 악성코드 실행 경로가 있었습니다. ㅎㅎ
캬 덱스 파일 로딩하는 메쏘드..
역시 부팅 완료되면 자동으로 할 수 있도록 리시버에 등!록
뭐 기타 서비스 등 여러개.. 합니다 ㅎㅎ
그래서 일단 메인인 a.dex 파일을 보니..깐?
헬로 에브리원ㅎ
다양한 기능들을 하고 계십니다 app/plg_v67이 ㅎㅎ
일단 가상기기인지 전화번호를 통해서 전화번호 시작 주소가 15555로 하면.. 뿩뀨 한 다음
일단 각 은행 앱들의 패키지명을 array에 넣은 다음에 이런 앱들이 설치되어 있는지 확인한 다음, 설치되어 있으면 삭제 후 바꿔치기 합니다.
정리해 보면
- 은행 앱 가로채기를 통한 개인정보 유출
옛날이나 지금이나 바뀐게 없네요
전 이만 다시 하던 일이나 하러 가겠습니다 사장님이 혼내요
'Android > Smishing' 카테고리의 다른 글
Smart Touch 사칭 안드로이드 악성코드 제거 도구 v0.1 (2) | 2015.06.08 |
---|---|
중국 SNS 사용자명을 통한 C&C 서버 IP 주소 연결 악성코드 해석법 (0) | 2015.03.04 |
관리자 권한 해제 방해하는 악성앱 해제법 (5) | 2015.01.17 |
인증서 발급자명 검사를 통한 위변조(?) 유무를 검사하는 스미싱 악성코드 (0) | 2014.11.17 |
DES로 암호화한 스미싱 파일 분석하기 (3) | 2014.06.14 |