상세 컨텐츠

본문 제목

Trojan.Android.Fakeav 분석 보고서

악성코드 분석 리포트

by 알약(Alyac) 2018. 3. 20. 15:14

본문

안녕하세요. 이스트시큐리티입니다.


최근 안드로이드 모바일 기기를 대상으로하는 스피어 피싱 공격이 나타났습니다. 포털 사이트 네이버의 개인정보 유출 방지와 관련된 메일을 전송하여 악성 앱을 설치하도록 유도합니다. 이 악성앱은 네이버 로고와 “Naver Defender”라는 앱명으로 네이버 백신을 사칭하며 주소록, 통화기록, 문자메시지 등의 민감한 정보들을 탈취합니다.


악성앱 분석

 


[그림 1] 서명 시간 및 파일 생성시간


2018년 03월 06일 최초 앱의 인증서 서명을 하였고, 이후 16일 최종 APK 파일을 수정하였습니다.


 

[그림 2] 오픈소스 활용


안드로이드 수신, 발신 전화를 녹음할 수 있는 “github.com/aykuttasil” 오픈소스를 활용하여 악성행위를 목적으로 제작하였습니다.

 

[그림 3] 네이버 백신 사칭


“Naver Defender”라는 앱명으로 네이버 백신을 사칭하고 지속적인 악성행위를 위하여 앱의 아이콘을 숨겨 사용자가 쉽게 알 수 없도록 했습니다.


 

[그림 4] 권한 요청


주소록, 통화기록, 문자, 네트워크 상태, 기기의 등록된 계정, 발신 통화 탈취 및 녹음을 위한 권한을 요청합니다.


 

[그림 5] 발신 통화 감시


리시버 등록을 통하여 기기의 발신 통화 여부를 감시합니다.


 

[그림 6] 발신 통화 녹음


발신 통화를 녹음합니다.


  

[그림 7] 계정 탈취


기기에 저장된 모든 계정들을 탈취합니다.


 

[그림 8] 문자 탈취


기기에 저장된 모든 문자들을 탈취하고 보낸 문자, 받은 문자, 번호, 이름 등으로 정보를 나누어 탈취합니다.


 

[그림 9] 주소록 탈취


기기에 저장된 모든 주소록을 탈취합니다.


 

[그림 10] 통화목록 탈취


기기에 저장된 모든 통화목록을 탈취하고 수신, 발신, 부재중, 번호, 이름, 시간 등으로 정보를 나뉘어 탈취합니다.


 

[그림 11] IP 주소 탈취


기기의 IP 주소를 탈취합니다.

 

 

[그림 12] 탈취한 정보 저장

 

 “/data/data/com.aykuttasil.callrecorder(패키지명)/cache/icloud/tmp-ord/” 폴더에 계정, 문자, 주소록, 통화기록, IP주소와 관련된 탈취한 정보들을 txt파일로 기록하고 저장합니다.


 

 

[그림 13] 압축 및 암호화


탈취한 정보가 저장된 파일들을 “zip” 압축하고 “AES”를 이용하여 암호화합니다.

 

[그림 14] 파일 전송


탈취된 정보들이 저장된 암호화된 파일들을 C&C서버로 전송합니다.

 

 

[그림 15] 파일 삭제


업로드가 완료되면 탈취한 정보가 기록된 파일을 삭제합니다.



결론


당 악성앱은 스피어피싱을 통해서 악성앱 설치를 유도하고 민감한 개인정보들을 탈취합니다. 이러한 악성앱의 감염을 막기 위해서는 출처가 불분명한 이메일 내부의 첨부파일을 실행하지 않도록 주의하고 써드파티 마켓의 앱 설치를 지양해야 합니다. 또한, 안드로이드 기기 및 백신을 최신상태로 유지해야 합니다.


현재 알약M에서는 해당 악성앱에 대하여 Trojan.Android.Fakeav로 탐지하고 있습니다. 



관련글 더보기

댓글 영역