포스팅 내용

악성코드 분석 리포트

명절 연휴를 앞두고 더욱 기승을 부리는 택배 사칭 스미싱 주의!

안녕하세요 이스트시큐리티 시큐리티대응센터(ESRC)입니다.


곧 다가올 추석에 가족, 친지들에게 선물 보내시느라 택배 서비스를 많이 이용하시고 있을 겁니다. 그런데 꾸준히 유포되고 있는 택배 사칭 스미싱이 명절 연휴를 앞두고 더욱 기승을 부리고 있어 사용자 분들의 주의가 필요합니다. 


본 글에서는 택배 사칭 스미싱이 어떻게 전파 되어 설치 되는지 치료는 어떻게 하실 수 있는지 알아보고 이를 통해 택배 사칭 스미싱을 예방 하실 수 있는데 조금이나마 도움이 되기를 바라며 해당 악성앱 “Trojan.Android.SmsSpy”를 분석해 보도록 하겠습니다.



 

악성코드 분석


[그림 1] 스미싱 프로세스


그림1은 스미싱의 전체 흐름을 보여주고 있습니다. 이 과정을 자세히 살펴보도록 하겠습니다.



1. 스미싱 악성앱 유포 및 설치 세부 과정


스미싱은 다음 그림2와 같이 문자로 유포되는 것이 특징입니다. 피해자는 해당 문자가 택배사에서 보낸 것으로 착각하여 링크를 열게 됩니다.


[그림 2] 스미싱 문자


링크를 열게 되면 그림 3과 같이 악성앱 다운로드가 진행됩니다.

 

[그림 3] 악성앱 다운로드


피해자가 다운로드 받은 알림을 클릭하게 되면 그림4와 같이 악성앱을 설치하는 화면으로 자연스럽게 넘어가게 됩니다.


 [그림 4] 악성앱 설


 

[그림 5] 설치완


그림5와 같이 설치를 완료하게 되면 그림6과 같이 기기관리자 권한을 설정하게 됩니다.

 

[그림 6] 기기관리자 권한 설정


기기관리자 권한 설정을 마지막으로 악성앱은 아이콘을 숨기고 백그라운드에서 동작하게 됩니다.


 [그림 7] 기기설정 내의 실행중인 앱 정보 화


백그라운드에서 동작하는 악성앱은 기기설정메뉴에서 애플리케이션 -> 실행중인 애플리케이션에 들어가게 되면 그림 7과 같은 악성앱 정보를 확인 할 수 있습니다.



2 스미싱 악성앱 코드분석


이제 스미싱 악성앱의 코드를 살펴보도록 하겠습니다. 


스미싱 악성앱은 기기의 번호 및 통신사를 공격자의 서버로 전송합니다. 다음 그림 8은 공격자 서버의 주소가 하드코딩되어 있는 것을 볼 수 있습니다.


 

[그림 8] 공격자 서버 주소


사용자의 전화번호와 통신사를 탈취하여 유출지로 전송합니다.


[그림 9] 네트워크 확


악성앱이 동작하면 피해자 기기의 네트워크 통신 상태를 확인합니다.


[그림 10] 관리자 권한 요구 코드


그리고 지속적인 악성행위를 위하여 관리자 권한을 요구하게 됩니다. (설치 시 기기관리자 권한 획득 실패 시)


[그림 11] 관리자 권한 해제 방해 코드


그림 11의 코드는 피해자가 악성앱의 관리자권한 해제 시도 시 방해를 하는 방어 코드입니다. 이는 악성앱의 생존을 위해 필요한 코드라 할 수 있습니다. 


이후 악성앱은 피해자에게서 각종 정보를 수집하여 공격자의 서버로 전송하게 됩니다.


[그림 12]사용자 위치 정보 수집 코드


그림 12는 피해자의 GPS를 통하여 위치 정보를 수집하는 코드입니다.


[그림 13] 기기정보 수집 코드


그림 13은 피해자의 전화번호, 시리얼번호, 기기의 아이디를 탈취하는 코드입니다.


 

[그림 14] 문자 메시지 탈취 코드


그림 14는 피해자의 문자 메시지 정보를 탈취하는 코드입니다.


 [그림 15] 공격자 원격명령 수행 코


그림 15는 공격자의 원격 명령을 수행하는 코드입니다. “sorry!-“ 문구가 포함된 문자 수신 시 공격자의 서버 주소를 변경합니다.


 [그림 16] 통화 강제 종료 코드


그림 16은 피해자 기기의 통화 상태를 감시하여 전화 수신 시 통화를 종료하는 코드입니다.



 [그림 17] 공격자 서버 및 악성행위 설정 정보


“/dadta/data/패키지명/shared_prefs/pref.xml” 파일에 문자, 전화 감시 상태 및 유출지를 기록합니다.


[그림 18] 공격자 서버와의 통신


공격자 서버로 피해자 기기의 전화번호와 통신사 정보도 전송됩니다.



결론


스미싱 악성앱은 교묘하게 설치를 유도하여 사용자 정보의 탈취는 물론 보이스 피싱과 같은 부가적인 공격이 가능하도록 합니다.  


이런 교묘한 공격은 이를 잘 알고 있지 않는 한 예방하기 쉽지 않습니다. 따라서 알약M과 같은 신뢰할 수 있는 백신을 사용하여야 하며 구글 플레이 프로텍트와 같은 기능도 활성화 시켜 놓아야 합니다. 더불어 기기설정 메뉴에서 보안 메뉴의 “알 수 없는 소스” 항목을 꺼 놓아야 하겠습니다.


[그림 19] 알약M의 실시간 탐지


현재 알약 M에서는 해당 앱을 Trojan.Android.SmsSpy탐지 명으로 진단하고 있습니다.






티스토리 방명록 작성
name password homepage