[악성 APK 분석] "야톡.apk" 몸캠피씽 에 사용된 악성코드 > 필독!! 악성 APK 분석 자료

본문 바로가기

필독!! 악성 APK 분석 자료

[악성 APK 분석] "야톡.apk" 몸캠피씽 에 사용된 악성코드

페이지 정보

작성자 시큐어앱 댓글 0건 조회 848회 작성일 18-11-13 17:05

본문

안녕하세요. 시큐어앱 입니다.


음란한 화상 채팅을 통해 돈을 뜯어내는 피싱의 일종인 "몸캠피씽"을 유도하는

악성코드가 스마트폰으로 유포되고 있는 것으로 "시큐어앱 보안팀"에서 확인 했습니다.


"시큐어앱 보안팀"에 따르면, 몸캠을 하자며 설치를 유도하는 APK 형태의 악성코드가 유포되고 있어 이용자의 주의가 요구된다고 합니다

공격자는 이용자에게 몸캠을 하자고 유인한 뒤, 시작 전에 이를 위한 프로그램 설치를 유도하는데,

해당 프로그램은 정상 프로그램을 위장한 악성 프로그램으로 이용자 스마트폰 핸드폰 전화번호부 목록 등을 탈취하는데 이용된니다.
이후 탈취한 전화번호는 녹화한 영상이 가족 및 주변 지인들에게 유포를 위협해 돈을 달라고 협박하는데 이용됩니다.


해당 악성코드는 APK 형태로 스마트폰 안드로이드 기기 사용자를 노리며, 야톡 이라는 이름으로 다음 그림과 같은 아이콘 모양을 하고 있습니다.
아래 아이콘을 사용하여 정상 파일로 위장하고 있습니다.


1) 야톡.apk 파일 악성 코드 정밀 분석
1. 앱 설치 유도​

사용자를 속이기 위해서 '사진'처럼 보이는 아이콘을 사용하고, 앱 명으로 '야톡'을 사용합니다.


722ad311751179d1a5e2f2ac53d6bb9a_1542095095_8177.png

▲ "야톡"으로 위장한 야톡.apk 아이콘


722ad311751179d1a5e2f2ac53d6bb9a_1542095350_9152.png


722ad311751179d1a5e2f2ac53d6bb9a_1542095417_9106.png
 

▲ "야톡" 정밀 분석 및 APK 파일 정보 확인


2. 권한 요구

"android.permission.READ_CONTACTS’, ‘android.permission.READ_PHONE_STATE’ 권한 등의 여러가지 허가를 동적으로 요구합니다.
해당 권한이 사용될 때, 휴대 전화에 저장된 모든 연락처 (주소) 데이터를 읽을 수 있도록합니다.
악성 응용 프로그램은이 기능을 사용하여 데이터를 다른 사람들에게 보냅니다.

722ad311751179d1a5e2f2ac53d6bb9a_1542096899_0606.png
722ad311751179d1a5e2f2ac53d6bb9a_1542096899_605.png
 

▲ "야톡.apk" 해킹 당한 모바일 권한 정보 확인



3. 전화번호 및 기기고유번호 탈취

사용자의 전화번호를 탈취하여 해당 IP 38.21.XXX.XXX C & C 서버에 전송 저장됩니다. 이때, 기기의 전화번호가 없으면 기기의 고유번호를 저장합니다.

기기에 저장된 주소록과 유심칩에 저장된 주소록까지 탈취합니다. 또한, 기기에 저장된 계정도 탈취합니다.

(해커는 이 주소록을 탈취하여 사용자의 주변 지인들에게 문자와 메일을 이용하여 ‘사용자의 몸캠 이용’ 사실을 전송하겠다고 협박하며 금전을 요구합니다.)
722ad311751179d1a5e2f2ac53d6bb9a_1542096914_8671.png

▲ "야톡.apk" C & C 서버 IP


722ad311751179d1a5e2f2ac53d6bb9a_1542096926_4291.png

▲ "야톡.apk" C & C 서버 메인


722ad311751179d1a5e2f2ac53d6bb9a_1542096939_2186.png

▲ "야톡.apk" C & C 서버



2) 야톡.apk 파일 악성 코드 분석 결론


해당 악성 앱은 사용자를 속이기 위해서 앱으로 위장하고, 사용자의 전화번호부를 탈취합니다.

이를 통하여 지인들에게 ‘몸캠 이용 사실’을 알린다고 협박하여 금전을 탈취합니다.따라서, 악성 앱에 감염되지 않기 위해서는 예방이 중요합니다.

출처가 불명확한 URL과 파일은 실행하지 않아야 합니다. 또한, 주변 기기의 비밀번호를 자주 변경하고 OS와 애플리케이션을 항상 최신 업데이트 버전으로 유지해야 합니다.

 

기술보안팀은 “불특정 다수를 대상으로 해당 악성 애플리케이션이 유포되고 있으니 낯선 사람의 메신저를 통한 배포한 애플리케이션을 설치하지 말아야 하며,

모바일 환경에서 작동하는 백신 설치가 필요하다”고 언급했습니다.


현재 시큐어 모바일 분석 및 악성코드 분석 서비스를 진행 도와드리고 있습니다.

많은 문의 부탁드립니다.

 


시큐어앱 일동 



 

SECURE APP LINK


SECURE APP
  • 상호 : 시큐어 앱
  • 주소 : 서울특별시 양천구 중앙로 294, 6층
  • 대표 : 임한빈
  • 사업자번호 : 827-16-01119
  • TEL : 1661-7382
  • 카카오톡 : secureapp
Copyright © 시큐어앱 All rights reserved.