포스팅 내용

악성코드 분석 리포트

Trojan.Android.Banker 악성코드 분석 보고서


안녕하세요? 이스트시큐리티 시큐리티대응센터(이하 ESRC)입니다.


스미싱을 통한 악성 앱의 종류가 점점 더 다양해지고 있습니다. 해당 악성 앱은 택배 앱으로 속이고 있으며 기기 정보와 문자 정보를 탈취한 후 아이콘을 숨겨 사용자가 알아차리기 어렵게 하고 원격 명령을 통해서 감염 기기로 문자 전송도 가능합니다.


또한, 몇몇 앱들을 감시하는데 그 중 국내 은행 앱이 있으면 추가 다운로드한 악성 앱으로 바꿔치기하고 모바일 백신이 존재하면 해당 앱의 삭제를 유도합니다. 


[그림] 백신 삭제 유도 코드 중 일부


해당 악성 앱은 택배 앱으로 속입니다. 기기와 관련된 다양한 정보를 탈취하고 특정 앱을 바꿔치기하고 삭제를 유도합니다. 또한, 원격 명령을 통해서 문자 메시지 전송이 가능하며 앱의 분석을 어렵게 하도록 jiami 패킹을 적용했습니다.


따라서 악성 앱으로부터 피해를 최소화하기 위해서는 백신 앱을 통한 주기적인 검사가 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않는 것이 기본이고 공식 마켓인 구글 플레이스토어를 통해서 확보한 앱이라도 백신 앱을 추가 설치하여 주기적으로 업데이트하고 검사해야 합니다.


현재 알약M에서는 해당 악성 앱을 ‘Trojan.Android.Banker’ 탐지 명으로 진단하고 있으며, 관련 상세 분석보고서는 Threat Inside 웹서비스 구독을 통해 확인이 가능합니다.



티스토리 방명록 작성
name password homepage