본문 바로가기

모바일/스마트폰 보안/안드로이드 악성앱 상세분석

안드로이드 악성앱(스미싱) 유형 - TCP Socket

좀 된 내용입니다. 한꺼번에 포스팅 하겠습니다. 최초 작성일3/31일 SMS탈취 유형중 TCP Socket 입니다.

 

SMS는 스미싱 초창기에 가장 흔하게 쓰인 공짜쿠폰과 결제관련 매세지! (물론 지금도 발견..)

 

APK설치시에 화면 입니다. 아이콘이 얼추 비슷한 것을 볼 수 있습니다~ 물론 완전 같은 것도 있구요. 속지마세요!

 

<그림 3 - 요청권한 목록>

SMS탈취를 위한 기본적인 요청권한 입니다. GPS나 하드웨어 제어, 연락처, 카메라 통화목록 등에 접근하는 앱들은 더욱 주의가 요구 됩니다.

 

<그림 4 - 실행 화면>

실행시에는 Error코드가 나오며 정상동작하지 않는 것 처럼 보이지만.. 아닙니다. 이미 SMS는 어딘가 빠져나가고 있습니다.

그럼 코드를 통해 정적인 분석을 해보겠습니다.

 

<그림 5 - 코드구조>

이런식으로 구조를 그려보면 코드를 파악하기 더 수월 합니다.

안드로이드 APK의 동작은 Activity, Receiver, Service, Intent 4가지 Component로 동작을 하죠

이부분은 따로 찾아보세요~ㅋㅋ

여기서 악성행위들은 com.cn.smsclient 패키지에 들어가 있겠군요..A B C ~ 로 나열된 부분도 이상합니다.

 

 

 

 

<그림 12 - Packet Stream>

이상 포스팅 마치겠습니다.