포스팅 내용

악성코드 분석 리포트

특정 커뮤니티 사이트 광고배너를 통해 유포된 악성APK 초동분석

특정 커뮤니티 사이트 광고배너를 통해 유포된 악성APK 초동분석


안녕하세요 이스트시큐리티 입니다. 

4/13 오후 2시경부터 특정 커뮤니티 사이트에 삽입된 광고배너를 통해 악성apk를 유포하는 멀버타이징(Malvertising) 공격이 발생하였습니다. 


멀버타이징(Malvertising) 공격 자세히 알아보기 


이스트시큐리티에서는 해당 악성apk에 대한 대응을 이미 완료했습니다. 유포된 악성apk가 어떤 악의적인 행위를 하는지에 대한 간단한 분석 결과를 공유 드립니다.


먼저 특정 커뮤니티 사이트에 스마트폰을 통해 접속한 방문자 대상으로 노출된 사이트 배너광고를 통해 악성apk 유포가 이뤄집니다. 이 때 방문한 사용자의 스마트폰이 바이러스에 손상되었다는 메시지를 보여주며, 사용자로 하여금 빨리 apk파일을 내려받고 설치하도록 유도합니다.



사용자가 해당 악성apk를 설치하게 되면, 사용자 스마트폰에 다음과 같은 파일정리앱으로 위장된 악성앱이 설치됩니다. 해당 악성앱은 실질적으로 동작하지 않습니다.



사용자 스마트폰에 설치된 악성앱은 내부에 저장된 특정 data를 복호화하여 추가 악성앱을 드롭합니다.

또한 이후 드롭된 추가악성앱이 사용자 스마트폰 메모리에 로드되도록 합니다.



설치된 추가악성앱은 특정 URL로 접속시도하고 실제 통신을 하여 암호화된 정보를 받아옵니다.



이후 악성앱은 스마트폰의 root권한을 확인하고 기기에 저장된 개인정보를 탈취하는 동시에, 기기관리자 권한을 요구합니다. 또한 추가적인 경고창을 띄워서 악성앱이 지정하는 앱목록을 구글플레이를 통해 다운로드 하도록 유도하는 기능도 포함되어 있는 것을 확인했습니다.


<SQLite의 앱 목록을 구글 플레이 스토어를 통하여 다운로드하도록 유도>


<추가적인 경고창을 띄우고 사용자로 하여금 기타 앱들을 다운로드 하도록 유도>


스마트폰 사용시 본인이 의도하지 않은 apk를 설치하도록 유도하는 케이스에 대해 각별히 주의해주시기 바랍니다.


이번 멀버타이징(Malvertising) 공격을 통해 뿌려진 드로퍼 악성앱에 대해 알약 안드로이드는

Trojan.Android.Dropper / Trojan.Android.Agent 로 탐지하고 있습니다. 감사합니다. 









티스토리 방명록 작성
name password homepage