본문 바로가기

모바일/스마트폰 보안/안드로이드 악성앱 상세분석

카카오보안플러그인 위장 악성앱 동작방식

최초 작성일은 6/30 입니다. 최근 이슈가 되었던 카카오보안플러그인 위장한 악성앱 입니다.

<그림 1 - 구글마켓에서 정상적으로 다운(업그레이드) 받는 숙주앱>

 

<그림 2 - 숙주앱을 통해 Drop되는 악성앱>

 

기존의 스미싱 방식이 아닌 정상적인 구글마켓을 통해 유포되기 때문에 일반적으로 유포규모가 더 크며, 필터링 하기 어렵습니다.

코드의 동작도 동적 분석, 안드로이드 코드만으로 분석이 안되며 C라이브러리를 로드 하기 때문에 리버싱이 필요 하며, Tool은 ARM을 지원해야 합니다.

코딩된 스트링도 Rinjdeal-128(AES)등 으로 암호화 되어 일반적인 분석가들이 분석하기 어렵습니다.일부 암호화된 String들을 복호화 했지만 핵심적인 코드를 발견하지 못하였습니다.

구글마켓에서 유포되지 않기를..