본문 바로가기

Android/Android Malware

FBI를 사칭한 안드로이드 랜섬웨어 분석

반응형

오늘도 역시 계속 밀라누나의 사이트를 뒤적거리던 중..

FBI를 사칭한 안드로이드 랜섬웨어를 발견하게 되었습니다! (2014년 12월 21일 업로드본)


그래서 분석을 하게 되었는데요.. 

원래 사실은 안할려고 했는데.. 



컴퓨터가 하라고 시키네요 젠-장


뭐 어쨌든 원래 하던대로.. 디컴파일 진행하기 전에 기초 정보들을 보면..?


MainActivity가 시작점인 악성코드임을 확인할 수 있습니다.


그를 기반으로 MainActivity의 onCreate method를 보면...?



keyguard를 실행하고, IMEI 정보를 가져오게 되네요.


그리고 아래를 더 보게 되면


에헤헤 BackgroundService가 시작되고, 기기 관리자가 실행됩니다.

아래 method는 기기 관리자를 처음 설정하는 부분입니다.



악성코드의 필수품 DEVICE_ADMIN! 

저기 ADD_EXPLANATION 부분에 키릴 문자(러시아어) 내용은 우리나라 말로 하면 "라이선스 계약" 이란

뜻이라네요. (노예계약인가..)


그 외 악성코드 행위를 요약해 보면, AES 암호화를 통해 외부 저장소에 저장된 모든 파일을 암호화 합니다.

물론 키는 random-generate 라서 알아낼 수 없습니다 :(



내 노예가 되신 것을 환영합니다.


그리고 돈을 요구하게 되고 만약에 그쪽에서 돈이 입금된걸 확인하면, 앱을 착하게 삭제해줍니다.. 

(와.. 겁나 감사하다)



이렇게 신기한 악성코드를 어떻게 설치해 보지 않을 수 있겠습니까!!!!!

"그래서 제가 직접 한번 깔아보았습니다. - 가상에" (제 폰은 아이폰이니깐요)


설치!!!! Flash Player라는 앱(을 가장한 악성코드)이 오늘의 악성코드!

항상 물어보는 기기 관리자..

실행하니 뭐라 쏼라쏼라 빨간 글씨로 써있습니다.

대충 내용은 "너님 폰에서 아청아청한 영상이 나옴 - 내가 잠궈줌 - 철컹철컹함"


그리고 싫으면 300달러 MoneyPak code 입력하셈 이라고 합니다.

(사실 진짜 FBI는 이런거 없이 그냥 "FBI!!!!" 이러면서 여러분의 문을 두들길 겁니다)

친절하게 어디서 살 수 있는지도 알려줍니다 (와 친절함)


저는 돈이 없는데다가, 있어도 저런데다가 쓸 수 없고, 거기다가 전 살 수도 없는 환경이라 그냥 삭제해 

버렸습니다.


사실 기기 관리자가 락을 걸어버려서 삭제는 그냥 못합니다.

/data/data/com.android.locker/ 영역의 모든 내용을 삭제한 후에 프로세스를 명령어로 꺼버리시면 됩니다!


자세한 실행 모습이나, 삭제 방법에 대해 보고 싶으신 분은 아래 유튜브 영상으로 가시면 됩니다 :)


http://youtu.be/QuF5wWgH5ME




반응형