최초 작성일은 6/30 입니다. 최근 이슈가 되었던 카카오보안플러그인 위장한 악성앱 입니다.
<그림 1 - 구글마켓에서 정상적으로 다운(업그레이드) 받는 숙주앱>
<그림 2 - 숙주앱을 통해 Drop되는 악성앱>
기존의 스미싱 방식이 아닌 정상적인 구글마켓을 통해 유포되기 때문에 일반적으로 유포규모가 더 크며, 필터링 하기 어렵습니다.
코드의 동작도 동적 분석, 안드로이드 코드만으로 분석이 안되며 C라이브러리를 로드 하기 때문에 리버싱이 필요 하며, Tool은 ARM을 지원해야 합니다.
코딩된 스트링도 Rinjdeal-128(AES)등 으로 암호화 되어 일반적인 분석가들이 분석하기 어렵습니다.일부 암호화된 String들을 복호화 했지만 핵심적인 코드를 발견하지 못하였습니다.
구글마켓에서 유포되지 않기를..
'모바일/스마트폰 보안 > 안드로이드 악성앱 상세분석' 카테고리의 다른 글
금융감독원과 알약으로 위장한 SMS/전화 번호부 탈취, 하드웨어 제어/데이터 파괴 악성앱 주의! (0) | 2013.07.19 |
---|---|
안드로이드 악성앱(스미싱) 유형 - SMTP (2) | 2013.07.16 |
안드로이드 악성앱(스미싱) 유형 - HTTP/XML (0) | 2013.07.16 |
안드로이드 악성앱(스미싱) 유형 - TCP Socket (0) | 2013.07.16 |
안드로이드 악성앱(스미싱) 유형 - Web Query (0) | 2013.07.16 |