Trojan.Android.Agent 악성코드 분석 보고서

안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.

최근 URL을 통해서 유포되고 있는 악성 앱의 종류가 더욱더 다양해지고 있습니다. 해당 악성 앱은 유명 택배 앱으로 위장하여 사용자를 속입니다. 또한 분석을 어렵게 하기 위해서 암호화를 통해서 악성 행위와 관련된 코드를 숨기고 so 파일을 활용하여 복호화 합니다.

기기 모델, 전화 번호 등의 기기정보와 문자 관련 정보, 주소록 등의 개인 정보를 탈취하고 C&C서버를 통해 원격 명령을 보내 사용자 몰래 문자 메시지를 전송하고 C&C 주소도 변경할 수 있어 유의가 필요합니다.

[그림] 수신 문자를 탈취하는 코드 일부

현재 알약M에서는 해당 악성 앱을“Trojan.Android.Agent”탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.