[악성 APK 분석] "음성지원.apk" 몸캠피씽 에 사용된 악성코드 > 필독!! 악성 APK 분석 자료

본문 바로가기

필독!! 악성 APK 분석 자료

[악성 APK 분석] "음성지원.apk" 몸캠피씽 에 사용된 악성코드

페이지 정보

작성자 시큐어앱 댓글 0건 조회 867회 작성일 18-08-20 20:38

본문

안녕하세요. 시큐어 앱입니다.

 

몸캠 피싱을 이용한 안드로이드 악성 앱이 다시 기승을 부리고 있습니다. 몸캠 피싱은 음란한 화상 채팅을 빌미로 악성 앱 설치를 유도합니다. 해당 악성 앱은 몸캠을 진행하는데 필요한 필수 앱으로 

사용자를 속이고 사용자의 기기에 저장된 전화번호부를 탈취, 이를 통하여 ‘사용자의 몸캠 이용 사실’을 지인들에게 알리겠다고 협박하여 금전을 갈취합니다.

1) 악성 코드 상세 분석
1. 유명 앱 사칭

사용자를 속이기 위해서 ‘재생화면’ 아이콘을 사용하고, 앱 명으로 ‘영톡방’ 를 사용합니다.

       0cc9f755fa0678fc8dc6061df4be5d5a_1534764571_5769.png

​   [ 음성지원App 설치 시 아이콘 ]   

2. 권한 요구

사용자 기기의 버전을 확인하고,  "android.permission.READ_CONTACTS’, ‘android.permission.READ_PHONE_STATE’ 권한 등의 여러가지 허가를 동적으로 요구합니다. 

해당 권한이 사용될 때, 동적으로 허가 요청을 받는 것으로 안드로이드 정책이 변경 되었습니다.

해당 앱 실행 시 서버 점검 중이라는 문구가 나오고 모바일 권한 등 탈취합니다.

0cc9f755fa0678fc8dc6061df4be5d5a_1534764664_6891.png

    [ 음성지원App 설치 시 실행 화면 ]  



3. 전화번호 및 기기고유번호 탈취

사용자의 전화번호를 탈취하여 해당 IP 148.163.XXX.XXX C & C 서버에 전송 저장됩니다. 이때, 기기의 전화번호가 없으면 기기의 고유번호를 저장합니다.

기기에 저장된 주소록과 유심칩에 저장된 주소록까지 탈취합니다. 또한, 기기에 저장된 계정도 탈취합니다. 


(해커는 이 주소록을 탈취하여 사용자의 주변 지인들에게 문자와 메일을 이용하여 ‘사용자의 몸캠 이용’ 사실을 전송하겠다고 협박하며 금전을 요구합니다.

   0cc9f755fa0678fc8dc6061df4be5d5a_1534764954_8467.png

   [ 음성지원App 전화번호 및 기기 고유 번호 탈취 ] 




4. 탈취된 개인 정보 전송 

탈취된 정보는 해커의 C&C 서버인 ‘148.163.xxx.xxx’ 공격자 C & C 서버에서 피해자들의 번호 및 고유기기 번호를 확인 할 수 있었습니다.

수정 및 삭제가 가능하며 열람 기능도 있는 것으로 확인됩니다.

   0cc9f755fa0678fc8dc6061df4be5d5a_1534765189_7989.png

    [ 음성지원App C & C 서버  ] 


2) 악성 코드 분석 결론

해당 악성 앱은 사용자를 속이기 위해서 앱으로 위장하고, 사용자의 전화번호부를 탈취합니다. 이를 통하여 지인들에게 ‘몸캠 이용 사실’을 알린다고 협박하여 금전을 탈취합니다.따라서, 악성 앱에 감염되지 않기 위해서는 예방이 중요합니다. 출처가 불명확한 URL과 파일은 실행하지 않아야 합니다. 또한, 주변 기기의 비밀번호를 자주 변경하고 OS와 애플리케이션을 항상 최신 업데이트 버전으로 

유지해야 합니다.

 

현재 시큐어 앱에서는 비슷한 악성 코드를 수집 및 분석을 도와드리고 있으며 차단 서비스를 도와드리고 있습니다.

유사한 범죄 발생 시 상담 및 지원을 해드리고 있으니 많은 문의 부탁드립니다.

 

 

시큐어 앱 일동


 

SECURE APP LINK


SECURE APP
  • 상호 : 시큐어 앱
  • 주소 : 서울특별시 양천구 중앙로 294, 6층
  • 대표 : 임한빈
  • 사업자번호 : 827-16-01119
  • TEL : 1661-7382
  • 카카오톡 : secureapp
Copyright © 시큐어앱 All rights reserved.