포스팅 내용

악성코드 분석 리포트

[악성코드 분석리포트] “포켓몬 Go” 사칭 악성 어플리케이션 분석

Trojan.Android.AndroRat.pokemongo, Trojan.Android.SmsReg


  

[그림 1포켓몬 Go 어플리케이션 화면


최근 증강 현실 모바일 게임인 "포켓몬 Go"가 세계적으로 선풍적인 인기를 얻고 있습니다. 

포켓몬 Go는 구글에서 제공하는 지도를 이용하여 플레이가 가능한 가운데, 국내에서는 구글 지도의 사용이 불가능 하기 때문에 플레이를 할 수 없습니다.

하지만 국내 일부 지역에서 포켓몬 Go를 플레이를 할 수 있다는 사실이 알려지자 사용자들은 비공식 사이트들을 통해 APK를 다운로드 받아 설치하게 되었고, 이를 악용한 APK 악성 파일들이 유포되고 있습니다.


이번 분석보고서에서는 포켓몬 Go를 사칭한 악성 어플리케이션들의 종류와 예방 방법에 대해 알아보도록 하겠습니다.


악성파일 분석


행위 요약


"포켓몬 Go” 어플리케이션을 사칭한 악성 어플리케이션들은 정상 포켓몬 Go 어플리케이션을 리패키징한 어플리케이션입니다. 실제 동작 시 사용자 모르게 단말기들의 정보를 유출하거나,  포켓몬 Go 어플리케이션을 사칭해 사용자 과금을 유도하는 행위들을 수행합니다.

[그림 2] 정상 어플리케이션과 리패키징 된 악성 어플리케이션 구조 비교 화면


상세분석


사칭 어플리케이션 설치 정보

“포켓몬 Go” 를 사칭한 어플리케이션들 내부를 살펴보면, 정상적인 “포켓몬 Go” 게임을 실행하면서 백그라운드로 자기가 삽입한 악성코드 로직이 동작하도록 합니다.


이 때 실제 게임과 관련 없는 SMS메시지 관리, 오디오 녹음, 전화 관리 등의 권한들을 추가적으로 요청하고 있습니다.


[그림 3] 정상 어플리케이션 권한 요청 화면


[그림 4] 악성 어플리케이션 권한 요청 화면


무단 광고 노출 및 단말기 정보 수집

해당 악성 어플리케이션에서는 단말기 전화번호, 저장 된 이메일, 단말기 ID, 설치 된 패키지명, 단말기 OS 버전, OS모델, 단말기 제조사, 단말기 화면 크기 정보, IMEI, 단말기 통신사 정보, 단말기 네트워크 타입 등을 수집합니다.

 

[그림 5] 단말기 정보 수집을 위한 코드 화면


수집된 단말기 정보들은 특정 외부서버로 전달됩니다.


[그림 6] 수집 된 정보가 외부로 유출 되는 네트워크 패킷 화면


정보들이 외부로 전달되면, 서버에서는 어플리케이션 시작 시 해당 단말기 정보에 맞게 외부 광고를 화면에 띄웁니다.

 

[그림 7] 어플리케이션 동작 시 광고 실행 화면


C&C 접속 후 단말기 정보 수집

해당 악성 어플리케이션에서는 C&C 서버와의 통신을 통해 RAT(Remote Access Tool)의 기능을 수행하기도 합니다.

C&C 서버는 코드 로직 안에 하드코딩되어 기재되어 있으며, 접속 성공 시 명령에 따라 RAT 기능들을 수행 할 수 있습니다.


[그림 8] C&C 접속 및 수행 리스트 기능 코드 화면


 

[그림 9] 하드코딩 된 C&C 아이피 화면


해당 악성 어플리케이션이 RAT로 지정 한 기능들은 아래와 같습니다.


- SMS 메시지 수집

- 통화 목록 수집

- 연락처 리스트 및 내용 수집

- 북마크 리스트 수집

- WhatsApp DB 수집

- 위치정보 수집

- 녹음 파일 수집

- 시스템 앱 등록

- 단말기 오디오 제어

- 단말기 정보 수집 (제조사, 모델, OS버전, 디바이스ID, Wifi Mac주소, 통신사, 데이터 On/Off, 단말기 번호, 유심)


SMS 과금 유도

해당 악성 어플리케이션에서는 “포켓몬 Go” 어플리케이션을 다운로드 할 수 있게 도와줄 수 있다고 속여 SMS로 다운로드 비용을 청구합니다.


어플리케이션이 최초 실행 되면, 자신의 리소스 파일에 있던 HTML문서를 화면에 보여줍니다.


[그림 10] 어플리케이션 동작 시 화면에 보여줄 HTML 위치 코드 화면


메인 화면의 중앙 스크롤을 통해 하단으로 내려가게 되면 다운로드를 도와주겠다며 베트남 화폐로 30,000동(한화 약 1,500원)을 요구하는 내용이 포함되어 있습니다.

 

[그림 11] 과금 내용을 표기하고 있는 어플리케이션 화면


다운로드 버튼을 클릭 하면 이 악성 어플리케이션은 HTML안에 존재하는 스크립트를 통해 “포켓몬 Go” 어플을 다운로드 하며, 동시에 지정 된 프리미엄 번호(7769, 7669, 7569, 7469)로 SMS를 보내게 됩니다.


※ 프리미엄 SMS 서비스

특정 번호로 문자를 보내게 되면 보낸 사람에게는 과금이 발생하고, 받는 사람과 이동통신사에는 수익이 생기는 서비스


[그림 12] HTML 내에 존재하는 스크립트 코드 화면


스크립트에서 가져온 URL과 SMS번호는 downGame, send 함수를 통해 실제 다운로드 및 SMS를 보내는 

로직을 동작시킵니다.


[그림 13] APK 다운로드 코드 화면 


 

[그림 14] SMS를 보내는 로직 화면


코드가 모두 동작되면, 구글 드라이브에 등록된 APK 파일을 다운로드 시도하며, SMS를 발송합니다.


 

[그림 15] “포켓몬 Go” 어플리케이션 다운로드 패킷 화면


[그림 16] 프리미엄 번호로 문자 발송을 시도 하는 화면 


결론


이처럼 이슈가 되고 있는 내용들을 가지고 사용자들에게 접근하는 사회공학적(Social Engineering) 악성코드는 이전에도 많이 발생해 왔고 앞으로도 지속적으로 나올 수 있는 기법입니다.


사용자들은 어플리케이션을 설치할 때 항상 공식 스토어를 이용해야 하며, 안드로이드 기기 내 설정에서 ‘알 수 없는 출처의 앱 설치 허용’이 체크되어 있다면 체크를 해제해야 합니다. 출처가 불분명한 어플리케이션을 받았을 경우에는 모바일 백신 어플리케이션을 설치하여 검사하고, 실시간 감시를 항상 동작시켜 악성 어플리케이션이 설치되는 것을 철저히 예방해야 합니다.


해당 악성 어플리케이션은 알약 안드로이드에서 다음과 같이 탐지되고 있습니다.


[그림 17] 알약 안드로이드 탐지화면 


※ 관련 내용은 알약 보안동향보고서 8월호에서도 확인하실 수 있습니다. 

티스토리 방명록 작성
name password homepage