이번 분석은 Web Query 유형에 해당하는 가장 많은 악성기능이 업그레이드 된 악성앱 입니다.
제목과 같이 GPS 추적, 음성통화도청, SMS탈취, 전화번호부 탈취를 모두 가능하게 하는 악성앱 입니다.
1. 앱 요약
mrkk.apk 라는 이름의 APK파일 입니다. 역시 알약에서는 탐지가 됩니다.
결제 서비스 사인 KG모빌리언스를 위장한 아이콘입니다.
결제와 관련된 허위 SMS로 위장을 하겠죠? 한것도 없는게 뭐가 결제 됐다고 하면 열받아서 속을 수도..
이제 해당앱에 대한 분석과 유출화면 입니다.
캡처화면에 대한 설명은 아래 간단하게 설명 하였습니다.
2. 코드분석
악성기능을 구성하는 패키지 입니다. 패키지명은 알약을 위장한 korean.alyac 입니다.
http연결을 구성하는 클래스 입니다. 해당 주소로 정보들을 보낼 것이라는 것을 알 수 있습니다.
GPS Data를 array하는 클래스 입니다. 경도,위도,정확도의 데이터를 만듭니다.
callbroadcastreceiver 클래스로 통화기록에 대한 이벤트를 수신 합니다.
receiver를 받은 service 클래스는 통화내용(음성파일)을 /data/data/korean.alyac.view/tapping/tmp 경로에 저장합니다.
저장한 음성 파일의 전송을 위한 copy 기능을 하는 클래스 입니다.
앞서 Array한 Data에 현재 GPS 값을 저장 합니다.
이제 각 종 유출 데이터를 전송하는 코드 입니다.
코드에 찍힌 http://경로로 GPS, SMS, 음성파일 데이터를 유출하게 됩니다.
3. 유출내용확인
다소 민감한 내용일 수 있습니다.
현재 모든 파악되는 안드로이드 악성앱의 피해 사례에 대해 검찰에 신고되고 있습니다.
조심 하시길 바랍니다.
'모바일/스마트폰 보안 > 안드로이드 악성앱 상세분석' 카테고리의 다른 글
현재 대량으로 유포중인 스미싱 사기 문자 - 서울역에서 포착된 안타까운 사진 (7) | 2013.09.07 |
---|---|
스미싱 사기 지인의 번호로 문자발송 - SecretTalk, Maintain (1) | 2013.08.30 |
금융기관을 사칭한 피싱앱 분석 (0) | 2013.08.16 |
주민번호 탈취 유도 악성앱 - 컬처랜드 (3) | 2013.08.06 |
안드로이드 악성앱(스미싱)유형 - Distributed SMTP (7) | 2013.07.29 |