포스팅 내용

악성코드 분석 리포트

Trojan.Android.Zitmo 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.


기존 스미싱을 통해서 유포되던 악성 앱들이 진화하고 있습니다. 과거에는 주로 “모바일 청첩장”을 사칭했었지만 최근에는 “무료 모바일 동영상”을 사칭합니다. 또한 그 기능도 과거에는 단순한 정보 탈취였다면, 최근에는 원격 조종 및 추가 다운로드를 통해서 더욱더 복잡하고 다양한 악성행위를 합니다.


특히, 해당 앱은 분석 및 백신의 탐지를 어렵게 하기 위해서 악성 파일을 암호화하여 숨겼다가 복호화한 후 동적 로딩을 통해서 악성 행위를 합니다.

 


본 분석 보고서에서는 'Trojan.Android. Zitmo'를 상세 분석하고자 합니다.



악성코드 상세 분석


1. 앱 특징

백신의 탐지를 피하고 분석에 어려움을 주기 위해서 실제 악성 행위를 하는 “classes.dex”파일은 XOR 연산과 특정 연산을 통해서 복호화 되고 동적으로 로딩됩니다. 앱의 주요 정보가 담긴 매니패스트를 보면 패키지명은 “com.glocs.ab79s.xd”, 앱의 엔트리 포인트는 “com.android.syswrap.xb.Mecha58”, 메인 액티비티는 “com.android.systemsetting.MainActivity”로 각각 다르게 설정하고 있습니다. 

 

[그림 1] 암호화된 앱의 구조


 

[그림 2] 복호화 연산 중 일부


[그림 3] 암호화 전 후 덱스코드 비교



2. 아이콘 숨김

사용자를 속이고 지속적인 악성 행위를 위해서 자신의 아이콘을 숨깁니다.


[그림 4] 아이콘 숨김



3. 관리자 권한 요구

다양한 악성 행위 및 앱 삭제 방해를 위해서 관리자 권한을 요구합니다. 관리자 권한을 해제하려고 하면 경고 문구를 팝업합니다. 또한, 관리자 권한이 해제되면 관리자 권한이 다시 활성화될 때까지 관리자 권한 요구 창을 지속적으로 팝업하여 기기의 사용을 어렵게 합니다.

 

[그림 5] 관리자 권한 요구



4. 메시지 앱 변경

메시지 관련 악성 행위를 위하여 기본으로 설정된 메시지 앱을 해당 앱으로 변경합니다.

 

[그림 6] 메시지 앱 변경 요구



5. 절전모드 제한

기기의 배터리 관리를 위해서 절전모드를 통해서 일부 앱들을 관리하는데, 이러한 절전모드 방지를 통해서 지속적인 악성 행위를 합니다.


[그림 7] 절전모드 제한



6. 기기 정보 탈취

기기 전화번호, 기기 모델 등 기기 관련 정보를 탈취합니다.


[그림 8] 기기 정보 탈취



7. 메시지 탈취

문자 메시지의 번호, 내용 등을 탈취합니다.


[그림 9] 메시지 탈취



8. 주소록 탈취

기기에 저장된 주소록을 탈취합니다.


[그림 10] 주소록 탈취



9. 탈취 정보 저장

탈취한 문자와 주소록 정보는 안드로이드 DB에 저장합니다.

  

 [그림 11] 탈취 정보 저장



10. 문자 전송

스미싱의 피해를 확산시키기 위해서 기기에서 탈취한 주소록을 활용해서 “결혼”과 관련된 문구와 스미싱 주소가 담긴 문자를 전송합니다. 


 [그림 12] 추가 문자 전송



11. 통화 녹음

통화 상태를 확인하여 통화를 녹음하고 저장합니다.

  

[그림 13] 통화 녹음



12. 통화 종료

벨 소리를 무음으로 변경하고 수신되는 통화를 종료합니다.


[그림 14] 통화 종료



13. 이미지 탈취

“DCIM”폴더를 확인하여 최신순으로 이미지를 탈취합니다.


[그림 15] 이미지 탈취



14. 추가 다운로드

새로운 “apk”파일을 다운로드 하여 추가 악성 행위를 합니다.

 

[그림 16] 추가 다운로드



15. 백신 회피

특정 백신의 여부를 확인하여 실행 중이라면 동작하지 못하도록 홈 화면으로 되돌리고, 삭제를 유도하는 창을 팝업합니다.

 

[그림 17] 백신 회피


16. 주요 악성 행위 재실행

기기가 부팅되면 주요 악성 행위와 관련된 서비스를 재실행합니다.

  

[그림 18] 주요 악성행위 재 실행



17. 원격 조종

문자 메시지를 통하여 C&C 서버를 변경할 수 있습니다.

 

[그림 19] 문자 메시지를 통한 원격 조종



18. 탈취 정보 전송

C&C 서버로부터 원격 명령을 받아 탈취된 정보들을 전송합니다.

  

[그림 20] 탈취 정보 전송


결론


해당 악성 앱은 청첩장 관련 앱의 이름과 아이콘을 사칭합니다. 기기의 전화번호, 모델 등의 기기 정보와 통화 녹음, 문자목록, 주소록 등의 개인정보를 탈취하고 탈취한 개인정보를 이용하여 스미싱을 추가로 전송하여 피해를 확산시킵니다. 

따라서, 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.


현재 알약M에서는 해당 앱을 'Trojan.Android. Zitmo'탐지 명으로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage