본문 바로가기

모바일/스마트폰 보안/안드로이드 악성앱 상세분석

금융감독원과 알약으로 위장한 SMS/전화 번호부 탈취, 하드웨어 제어/데이터 파괴 악성앱 주의! 지난 6/7 발견된 이후 다시 FTP를 이용하여 전화번호부를 유출하는 앱이 SMS를 통해 유포 되고 있습니다. 그리고 하드웨어 제어 및 데이터 파괴 기능을 하는 신종 악성앱이 계속 업그레이드 되며 유포 중입니다. 이 앱은 루트권한을 요청하여 시스템의 거의 모든 하드웨어를 제어하며, 데이터를 삭제 하거나 프로세스를 죽이는 등의 행위가 가능하여 매우 위험 합니다. 주의 SMS! ü 최신 모바일 인터파크 국내최고1위도달 다운 ü 스팸(스미싱) 메세지 자동차단 프로그램 설치 후 안전하게 [알약] ü [금강원]피싱사기예방! 1. 금융감독원을 사칭한 FTP를 이용한 전화번호부 유출 앱 악성행위를 위한 메시지, 개인정보, 네트워크 통신 등의 권한에 접근 위와 같이 엑셀 형식으로 사용자의 개인정보(전화번호부)를 유출하.. 더보기
안드로이드 악성앱(스미싱) 유형 - SMTP 이번엔 SMTP를 이용한 악성앱에 대한 분석 내용입니다. 범죄자가 머리를 쓴 케이스 인데요. SMTP를 통해 유출하면 ISP등에서 차단하기가 어렵습니다. 메일 전송은 MX서버와 통신을 하게 되는데 이걸 차단하기 어렵다는 것이죠. (정상적인 메일 송수신도 안 될 것이고 항상 같은 Exchange서버를 이용 하지도 않을 것이기 때문이죠) 그럼 간단하게 살펴 보겠습니다. SMS! (11번가) 85.000원 결제완료/익월요금합산청구/내역확인, [G마켓] 05/15 14:01결제금액: 66000원결제내역확인 그럼 코드를 살펴 보겠습니다. 구글계정은 구글의 보안정책 때문에 접속이 불가능 했습니다. 메일로 전송을 할 경우 차단은 어렵지만 꼬리 잡기가 수월 하겠지요? 더보기
안드로이드 악성앱(스미싱) 유형 - HTTP/XML 오늘 올리는 내용은 최신의 정보는 아니며, 기존에 분석했던 내용을 포스팅 하고 있습니다. 최초 작성일 4/8. SMS, 전화번호부, 음성통화 등이 해커에 의해 외부로 유출 하는 경로(프로토콜)를 나누어 보았습니다. 가장 흔한 방법이 Web이고, socket, xml, mail, ftp가 발견 되었으며 mail같은 경우에는 exchange서버와 통신하기 때문에 차단이 어렵습니다. 지금은 세번째로 xml입니다. 소스는 거의 비슷하다고 볼 수 있습니다. 유출하는 프로토콜이 다를 뿐.. SMS 사기천국으로부터 자신을 지키자.!!보안시스템 업그레이드 설치 후 따로 아이콘이 아이콘이 생성 되거나, UI로 보이는 Activity는 없으며 관리자 권한의 lock설정으로 요청하기도 합니다. 소스코드를 보겠습니다. 보고서.. 더보기
안드로이드 악성앱(스미싱) 유형 - TCP Socket 좀 된 내용입니다. 한꺼번에 포스팅 하겠습니다. 최초 작성일3/31일 SMS탈취 유형중 TCP Socket 입니다. SMS는 스미싱 초창기에 가장 흔하게 쓰인 공짜쿠폰과 결제관련 매세지! (물론 지금도 발견..) APK설치시에 화면 입니다. 아이콘이 얼추 비슷한 것을 볼 수 있습니다~ 물론 완전 같은 것도 있구요. 속지마세요! SMS탈취를 위한 기본적인 요청권한 입니다. GPS나 하드웨어 제어, 연락처, 카메라 통화목록 등에 접근하는 앱들은 더욱 주의가 요구 됩니다. 실행시에는 Error코드가 나오며 정상동작하지 않는 것 처럼 보이지만.. 아닙니다. 이미 SMS는 어딘가 빠져나가고 있습니다. 그럼 코드를 통해 정적인 분석을 해보겠습니다. 이런식으로 구조를 그려보면 코드를 파악하기 더 수월 합니다. 안드로.. 더보기
카카오보안플러그인 위장 악성앱 동작방식 최초 작성일은 6/30 입니다. 최근 이슈가 되었던 카카오보안플러그인 위장한 악성앱 입니다. 기존의 스미싱 방식이 아닌 정상적인 구글마켓을 통해 유포되기 때문에 일반적으로 유포규모가 더 크며, 필터링 하기 어렵습니다. 코드의 동작도 동적 분석, 안드로이드 코드만으로 분석이 안되며 C라이브러리를 로드 하기 때문에 리버싱이 필요 하며, Tool은 ARM을 지원해야 합니다. 코딩된 스트링도 Rinjdeal-128(AES)등 으로 암호화 되어 일반적인 분석가들이 분석하기 어렵습니다.일부 암호화된 String들을 복호화 했지만 핵심적인 코드를 발견하지 못하였습니다. 구글마켓에서 유포되지 않기를.. 더보기
안드로이드 악성앱(스미싱) 유형 - Web Query 포스팅하는 내용은 지난 악성앱들에 대한 분석 내용입니다. 최초 작성은 3/27일 이며 현재는 유효하지 않으나 계속 반복될 수 있는 위험에 대해 주의가 요구 됩니다. SMS주의! 생활 보안의 시작! V3 Lite 모바일백신서비스입니다 단축 URL을 풀어보면 개인 블로그의 게시판에 직접 링크되었던 앱입니다. 해커 개인의 블로이거나 해킹해서 올려놨을 수도 있습니다. V3백신과 카카오게임으로 위장 하였습니다. 코드의 MainActivity. 그럴듯해 보이기 위해 안랩 모바일 웹으로 접속! 스미싱앱도 피싱의 일종으로 얼마나 사용자를 현혹시킬 수 있는지가 중요하다. 최대한 신뢰할만 한 문구 또는 자극적이고 도발적인 문구가 주를 이루고, 최근에는 모바일 청첩장 관련된 SMS가 가장 많다. 처음에는 웹을 통해 바로 개.. 더보기