유명 커뮤니티 해킹 사건 및 유포된 apk 분석

유명 커뮤니티 해킹 사건 및 유포된 apk 분석

최근 유명 커뮤니티 사이트가 해킹당하여, 해당 커뮤니티에 가입한 회원정보 (회원의 ID, 암호화된 pass word, 생년월일,E-mail, 닉네임, 암호화된 장터password, 가입일, 회원점수) 가 유출되었습니다. 또한 해킹사고 후 홈페이지의 특정 경로를 통하여 모바일 악성앱을 유포하였습니다. 즉 노출 계정을 확인 하기 위해 접근한 커뮤니티 회원들을 대상으로 앱을 유포 한 것으로 추정됩니다.

해당 앱을 분석해본 결과 피해자에게 지속적으로 광고를 노출하는 전형적인 광고앱이지만, 마켓을 통해 배포되는 정상적인 앱들과의 차이점이 3가지 존재합니다.

1) 피해자에게 어떠한 기능도 제공하지 않으면서 지속적으로 광고 노출과 해당 광고에서 선전하는 앱들을 다운로드 하도록 유도합니다.

2) 원격조정 기능을 통해 특정 시스템 앱을 패치하거나 자신을 업데이트 하는 등의 행위를 지속적으로 수행합니다.

3) 샤오미폰과 레노버폰에서는 자동 인스톨이 가능한 기능이 있습니다.

아직 개인정보를 유출하거나 사용자 입력정보를 탈취 하는 등의 악성행위는 발견되지 않았지만, 자신을 업데이트 하거나 특정 앱들을 다운로드 받을 수 있어 이후에 정보탈취 앱으로 돌변할 가능성이 있습니다. 

웹서핑 도중 사이트를 방문할 경우 수상한 apk가 다운로드되었거나, 다운로드된 임의의 apk를 설치하신 사용자분들은 알약 안드로이드 또는 신뢰할 수 있는 모바일 백신앱로 스마트폰을 검사하시기를 권고드립니다.

악성코드 캡쳐화면

※ 설치화면 캡쳐화면

※ 광고 노출 화면

※ 앱 구동 화면

앱 구동 시 위의 그림과 같이 피해자의 흥미를 유발 할 수 있는 컨텐츠를 배열 하여 일정 수준의 포인트를 쌓아야 해당 컨텐츠를 볼 수 있도록 되어있습니다. 포인트는 3번째 earn points라는 탭에서 쌓을 수 있으며 광고와 연결되어 광고가 팝업 되거나 특정 앱을 다운 받는 등의 행위를 수행 합니다.

악성코드 코드분석

※ 코드 실행 흐름 개요도

해당 앱은 패커가 적용되어 있지 않으나 코드를 알아보기 어렵게 난독화와 실제론 앱의 동작에 아무런 영향을 주지 않는 쓰레기 코드를 삽입하여 분석을 어렵게 했다는 특징이 있습니다. 실제 코드는 동적으로 호출 하여 사용하였으며, 클래스와 함수 이름은 DES로 암호화 하여 사용하였습니다. 

이후 실제 코드가 실행 되면 앱의 메인 화면과 함께 각종 광고를 노출 합니다.

현재 알약 안드로이드 에서는 해당 앱에 대하여 Trojan.Android.Rootnik로 탐지하고 있습니다.