유명 커뮤니티 해킹 사건 및 유포된 apk 분석
최근 유명 커뮤니티 사이트가 해킹당하여, 해당 커뮤니티에 가입한 회원정보 (회원의 ID, 암호화된 pass word, 생년월일,E-mail, 닉네임, 암호화된 장터password, 가입일, 회원점수) 가 유출되었습니다. 또한 해킹사고 후 홈페이지의 특정 경로를 통하여 모바일 악성앱을 유포하였습니다. 즉 노출 계정을 확인 하기 위해 접근한 커뮤니티 회원들을 대상으로 앱을 유포 한 것으로 추정됩니다.
해당 앱을 분석해본 결과 피해자에게 지속적으로 광고를 노출하는 전형적인 광고앱이지만, 마켓을 통해 배포되는 정상적인 앱들과의 차이점이 3가지 존재합니다.
1) 피해자에게 어떠한 기능도 제공하지 않으면서 지속적으로 광고 노출과 해당 광고에서 선전하는 앱들을 다운로드 하도록 유도합니다.
2) 원격조정 기능을 통해 특정 시스템 앱을 패치하거나 자신을 업데이트 하는 등의 행위를 지속적으로 수행합니다.
3) 샤오미폰과 레노버폰에서는 자동 인스톨이 가능한 기능이 있습니다.
악성코드 캡쳐화면
※ 설치화면 캡쳐화면
※ 광고 노출 화면
※ 앱 구동 화면
앱 구동 시 위의 그림과 같이 피해자의 흥미를 유발 할 수 있는 컨텐츠를 배열 하여 일정 수준의 포인트를 쌓아야 해당 컨텐츠를 볼 수 있도록 되어있습니다. 포인트는 3번째 earn points라는 탭에서 쌓을 수 있으며 광고와 연결되어 광고가 팝업 되거나 특정 앱을 다운 받는 등의 행위를 수행 합니다.
악성코드 코드분석
※ 코드 실행 흐름 개요도
해당 앱은 패커가 적용되어 있지 않으나 코드를 알아보기 어렵게 난독화와 실제론 앱의 동작에 아무런 영향을 주지 않는 쓰레기 코드를 삽입하여 분석을 어렵게 했다는 특징이 있습니다. 실제 코드는 동적으로 호출 하여 사용하였으며, 클래스와 함수 이름은 DES로 암호화 하여 사용하였습니다.
이후 실제 코드가 실행 되면 앱의 메인 화면과 함께 각종 광고를 노출 합니다.
현재 알약 안드로이드 에서는 해당 앱에 대하여 Trojan.Android.Rootnik로 탐지하고 있습니다.
MS Office 매크로를 이용하여 키로깅 프로그램을 다운받는 공격활동 분석 (0) | 2015.10.22 |
---|---|
Xcode IDE 악성앱 이슈 관련 Xcode 버전 인증방법 (0) | 2015.09.23 |
한글자막이 포함된 원피스 최신동영상으로 위장한 악성코드 주의! (2) | 2015.08.18 |
[악성코드 분석리포트] Trojan.Android.Downloader.KRBanker (0) | 2015.08.13 |
[악성코드 분석리포트] Spyware.Infostealer.AuNet (0) | 2015.08.06 |
댓글 영역