상세 컨텐츠

본문 제목

Trojan.Android.Dropper 악성코드 분석 보고서

악성코드 분석 리포트

by 알약(Alyac) 2018. 9. 17. 10:54

본문

녕하세요? 이스트시큐리티입니다.


구글 플레이스토어는 공식 앱 마켓으로서 악성 행위가 포함된 앱에 대응하기 위해서 각별한 주의를 기울이고 있습니다. 하지만 다양한 악성 앱들이 정상 앱을 가장하여 배포되고 있습니다. 해당 악성 앱은 별자리 운세 앱을 사칭하여 앱이 지워졌다는 문구를 팝업하여 사용자를 속이지만 실제 지워지지 않고 사용자 몰래 기기 정보뿐 아니라 문자, 통화 기록 등의 개인정보까지 탈취합니다.

 

본 분석 보고서에서는 ‘Trojan.Android.Dropper’ 를 상세 분석하고자 합니다.




악성코드 상세 분석


1. 사용자를 속이는 문구

처음 악성 앱을 실행하면 사용자를 속이기 위해서 해당 앱이 삭제되었다는 문구가 팝업되나 실제 지워지지 않고 사용자에게 보이는 아이콘만 지워지고 악성 행위는 지속하고 있습니다.

  

[그림 1] 사용자를 속이는 문구



2. 악성 행위 앱 드랍

“assets” 폴더에 mp3 확장자로 저장된 파일들은 앱 파일이며, 실질적으로 악성 행위와 관련된 코드가 저장되어 있습니다. 특히, Base64 암호화 되어 저장되어 있고, “/SDcard/Download/” 경로에 저장됩니다.

 

[그림 2] 암호화되어 저장된 악성 앱



3. 실행환경 확인

기기 정보를 확인하여 실제 기기에서의 실행 여부를 확인하는데, 동적 분석을 회피하기 위함으로 추정 할 수 있습니다.

 

[그림 3] 실행환경 확인



4. 동적 로딩

드랍된 악성 앱은 안드로이드의 동적 로딩을 활용하여 실행됩니다. 원본 앱은 드랍퍼 앱으로서 악성 행위를 하기보다는 악성 행위를 하기 위한 준비를 합니다.


다음 5.부터는 드랍 된 앱의 악성행위에 대한 분석입니다.

 

[그림 4] 동적 로딩을 통한 악성 행위



5. 기기 정보 수집

기기의 전화번호를 비롯하여 8가지의 기기 정보를 수집합니다.

 

[그림 5] 기기 정보 수집



6. 설치된 앱 목록 수집

설치된 앱 목록을 수집합니다.

 

[그림 6] 설치된 앱 목록 수집



7. 위치 정보 수집

사용자의 위치 정보를 수집합니다.


[그림 7] 위치 정보 수집



8. 통화 목록 수집

통화 목록을 수집합니다.

 

[그림 8] 통화 목록 수집



9. 주소록 수집

주소록을 수집합니다.

 

[그림 9] 주소록 수집



10. 문자 정보 수집

문자 정보를 수집합니다.

 

[그림 10] 문자 정보 수집



11. 문자 전송

문자를 작성하여 사용자 몰래 전송합니다.


[그림 11] 문자 전송



12. 추가 다운로드

사용자 동의 없이 앱을 추가 다운로드 합니다.

 

 [그림 12] 추가 다운로드



13. 폴더, 파일 정보 수집

저장소의 최상위 폴더인 “/”경로부터 시작해서 최하위 폴더에 위치한 파일까지 저장소에 저장된 모든 폴더와 파일 정보를 수집합니다.

 

[그림 13] 저장소 정보 수집


14. SQLite 활용

안드로이드에서 데이터베이스 관리 시스템으로 사용하는 SQLite를 활용하여 악성 행위를 한다. “herobot”이라는 파일명에 수집한 정보들을 저장합니다.

  

[그림 14] 악성행위에 활용되는 SQLite



15. 수집 된 정보 탈취 (bibonado.com, 89.108.65.121)

수집된 정보들은 “herobot” 디비에 저장되어 C2로 전송됩니다. 여기서 카드 정보와 관련 된 것으로 추정되는 문자열을 확인했지만 실제 관련 코드를 찾아볼 수 없었습니다. (추가 다운로드 앱에 존재하거나 미구현으로 추정)

 

[그림 15] C2 주소


결론


해당 악성 앱은 공식 마켓인 구글 플레이스토어를 통해서 유포되었습니다. 사용자를 속이기 위해서 앱이 삭제되었다는 문구를 띄우고 기기 정보 및 주소록, 문자 정보 등의 사용자 정보를 탈취합니다.


따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.


현재 알약M에서는 해당 앱을 ‘Trojan.Android.Dropper탐지 명으로 진단하고 있습니다.



관련글 더보기

댓글 영역