포스팅 내용

악성코드 분석 리포트

Trojan.Android.Fakeapp 악성코드 분석 보고서

안녕하세요? 이스트시큐리티입니다.


구글 플레이스토어에서 정상 앱을 가장한 악성 앱이 지속적으로 발견되고 있습니다. 관련 앱들은 게임, 티비, 리모컨 등의 앱으로 위장하여 사용자를 속입니다. 해당 앱 중에는 다운로드 건수가 500만 건이 넘는 앱도 있었습니다. 특히, 다양한 가상환경 탐지 기법을 적용하여 앱 분석을 방해하며 광고 팝업뿐만 아니라 기기 및 개인 정보를 탈취합니다.


본 분석 보고서에서는 'Trojan.Android.FakeApp'를 상세 분석하고자 합니다.




악성코드 상세 분석


1. 광고를 위한 앱 설정

광고를 하기 위해서 자체 설정을 하는데, 해당 설정과 관련된 정보는 인터넷을 통해서 읽어오고, shared_prefs에 값을 저장합니다. 또한, 인터넷이 안될 경우를 대비하여 앱 자체에도 하드 코딩되어 기록되어 있습니다. 해당 내용은 애드몹, 페이스북 광고 관련 설정 값들과 이러한 값들의 업데이트 주기가 기록되어 있습니다.

 

[그림 1] 광고 관련 설정값


2. 주기적인 광고 설정 업데이트

이러한 악성 앱들은 자기 자신을 숨기기 때문에 한번 설치되면 발견이 어렵습니다. 특히 광고와 관련된 악성 앱은 해커의 금전적 수익과 직결되기 때문에 해커가 마음대로 조종할 수 있는 C2를 활용하여 광고 관련 설정을 주기적으로 변경하면서 지속적인 악성 행위를 합니다. 또한, 기기 재부팅을 하더라도 지속할 수 있도록 부팅 여부를 확인하여 재실행합니다.

  

[그림 2] 주기적인 업데이트



3. 기기 화면 확인

사용자에게 광고 노출을 시키고 터치를 유도하기 위해서 기기의 화면 켜짐 여부를 확인합니다.

 

[그림 3] 화면 확인


4. 애드몹 광고 설정

애드몹 SDK를 이용하여 광고를 노출합니다.

 

[그림 4] 애드몹 SDK 설정


5. 페이스북 광고 설정

페이스북 SDK를 이용하여 광고를 노출합니다.

 

[그림 5] 페이스북 SDK 설정


6. 자체 광고 설정

애드몹과 페이스북을 이용하여 광고를 불러오는데, 실패할 경우 자체 제작한 광고를 팝업합니다. 오픈소스인 Picasso를 활용하며 터치하면 구글 플레이스토어에 등록된 특정 앱을 안내합니다.

 

[그림 6] 자체 광고 설정


7.별점 유도와 무분별한 광고 팝업

구글 플레이스토어의 별점을 유도하는 문구가 팝업되고 터치 시 구글 플레이스토어로 이동합니다. 또한, 앱 내부의 어떠한 기능이나 버튼을 누르거나 취소를 하면 광고를 팝업하여 사용자가 광고에 계속 노출되도록 합니다.


[그림 7] 무분별한 광고 팝업


8. 가상환경 탐지

가상환경과 관련되는 정보들이 하드코딩 되어있고 해당 정보와 기기 정보를 비교하여 가상환경 여부를 확인합니다.

  

[그림 8] 가상환경 탐지

9. 기기 정보 탈취

사용자의 동의나 관련 언급 없이 기기 모델, 버전, 위치, 아이피 등 20가지 이상의 기기 정보를 탈취합니다.

  

[그림 9] 탈취되는 기기정보



결론


해당 악성 앱은 구글 플레이스토어를 통해서 유포되었습니다. 특히, 사용자를 속이기 위해서 앱을 숨기고 금전적 수익을 위해 광고를 팝업한다. 또한, 기기와 관련된 20가지 이상의 정보들을 탈취합니다.


따라서, 악성 앱에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않아야 합니다. 또한, 주변 기기의 비밀번호를 자주 변경하고 백신 애플리케이션을 설치하여 항상 최신 업데이트 버전으로 유지해야 합니다.


현재 알약M에서는 해당 악성 앱을 ’Trojan.Android.HiddenApp’ 탐지 명으로 진단하고 있습니다.



티스토리 방명록 작성
name password homepage