포스팅 내용

악성코드 분석 리포트

Trojan.Android.InfoStealer 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.


몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.

본 분석 보고서에서는 ‘Trojan.Android.InfoStealer’를 상세 분석하고자 합니다.


악성코드 상세 분석


1. 유명 앱 사칭

사용자를 속이기 위해서 ‘카카오스토리’ 아이콘을 사용하고, 앱 명으로 ‘Support’를 사용합니다.

 

[그림 1] 유명 앱 사칭



2. 권한 요구

사용자 기기의 SDK 버전을 확인하고, 그 버전이 23 이상일 경우 "android.permission.READ_CONTACTS’, ‘android.permission.READ_PHONE_STATE’ 두가지 권한의 허가를 동적으로 요구합니다. 앱 설치 시 필요한 권한의 허가를 한꺼번에 요청했던 이전 버전과 달리, 안드로이드 6.0 ‘마시멜로우’ 버전인 SDK23 버전부터는 해당 권한이 사용될 때, 동적으로 허가 요청을 받는 것으로 안드로이드 정책이 변경 되었습니다.

 

[그림 2] 권한 요구



3. 권한 재 요구

요청하는 권한을 거절 할 경우 사용자가 원하는 기능을 이용할 수 없다며 사용자를 속이는 문구를 팝업하고 악성 행위에 필요한 권한을 허가하도록 유도합니다. (사회공학적 기법으로서 사용자는 ‘몸캠’을 하기 위하여 해당 앱을 다운받아 설치한 상태이고, 그 목적을 달성하기 위해서 동적 권한을 허가할 확률이 매우 높을 것으로 추정)


[그림 3] 권한 재 요구



4. 발신 번호 탈취

사용자 기기의 통화 상태를 감시하여 발신상태일 경우 대상 번호를 저장합니다. ‘/data/data/com.tencent.qq.a(패키지명)/shared_prefs/’폴더의 ‘cache.xml’파일에 저장합니다.

 

[그림 4] 발신 번호 탈취



5. 전화번호 및 기기고유번호 탈취

사용자의 전화번호를 탈취하여 ‘/data/data/com.tencent.qq.a(패키지명)/shared_prefs/’폴더의 ‘cache.xml’파일에 저장됩니다. 이때, 기기의 전화번호가 없으면 기기의 고유번호를 저장합니다.


[그림 5] 탈취 된 사용자의 전화번호



6. 주소록과 계정 탈취

기기에 저장된 주소록과 유심칩에 저장된 주소록까지 탈취합니다. 또한, 기기에 저장된 계정도 탈취합니다. (해커는 이 주소록을 탈취하여 사용자의 주변 지인들에게 문자와 메일을 이용하여 ‘사용자의 몸캠 이용’ 사실을 전송하겠다고 협박하며 금전을 요구함)

 

[그림 6] 주소록과 계정 탈취



7. 탈취된 정보 전송

탈취된 정보는 해커의 C&C 서버인 ‘118.107.181.26’로 전송됩니다. 그러나, 현재 해당 서버에 접속이 되지 않습니다.


[그림 7] 정보 탈취



8. 기타 특징

1) 악성 행위의 추가

해당 샘플에서는 코드가 있어도 실행이 되지 않거나 앞으로 추가 될 수도 있는 행위와 관련된 코드들을 확인 할 수 있습니다. 관리자 권한 확보를 통한 앱 삭제 방해, 문자 탈취, 사진 앨범 탈취, 기기정보 탈취가 있습니다.

 

[그림 8] 추가 될 수 있는 악성 행위


2) 임대 계약서

해당 앱의 Assets 폴더에 ‘temp.html’이 저장되어 있는데, 실제 한국에 존재하는 특정 회사와 관련된 문서가 저장되어 있습니다.

 

[그림 9] 계약서



결론


해당 악성 앱은 사용자를 속이기 위해서 유명 앱으로 위장하고, 사용자의 전화번호부를 탈취합니다. 이를 통하여 지인들에게 ‘몸캠 이용 사실’을 알린다고 협박하여 금전을 탈취합니다.


따라서, 악성 앱에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않아야 합니다. 또한, 주변 기기의 비밀번호를 자주 변경하고 OS와 애플리케이션을 항상 최신 업데이트 버전으로 유지해야 합니다.


현재 알약 M에서는 해당 악성 앱을 ’Trojan.Android.InfoStealer’ 탐지 명으로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage