요즘 몸캠 수법을 이용하여 개인정보를 탈취하는 악성코드 활발히 유포중입니다.
유튜브 댓글을 통해 카톡 아이디를 유포한 다음 몸캠을 보여준다고 하여 해당 파일 실행을 유도하는데요.
오늘 분석 의뢰 받은 파일은 내영상av.rar이라는 압축파일에 담긴 "혼자만봐.apk" 악성코드 입니다.
파일명 : 혼자만봐.apk
MD5 : e37304cb18be94741d1a351d54dac2d7
SHA-1 : f8241e38d811b6432c163dc7df0febbcbe7ae8a1
SHA-256 : d0f88bfa9349a80a8a9ed246af5ba9de65f008ce0c96302380680733c11ad6ae
해당 악성코드는 국내백신에서 Trojan/Android.SMSstealer.993516 진단명으로 치료되고 있습니다.
파일 내부를 보시면, 아래 보이는 파일들이 존재합니다.
AndroidManifest.xml 파일에서 해당 어플이 갖는 권한을 확인해보았습니다.
BOOT_COMPLETEDM ACCESS_NETWORK_STATE, ACCESS_WIFI_STATE, READ_SMS 등 핸드폰 내부의 정보 탈취가 가능한 여러 퍼미션들이 포함되어 있습니다.
해당 애플리케이션 권한 허용 시, 연락처와 문자, 핸드폰 상태의 정보를 해커가 확인할 수 있으며 네트워크 WIFI 정보에 접근이 가능한 권한까지 포함되어 있는 걸 볼 수 있습니다.
또한, 화면이 어두워지거나 대기 상태가 되면 프로세스를 유지할 수 있게 해주는 WAKE_LOCK 권한까지 추가해놓았습니다.
- ACCESS_NETWORK_STATE : 애플리케이션이 네트워크에 대한 정보에 접근 하도록 허용
- ACCESS_WIFI_STATE : 애플리케이션이 와이파이 정보에 접근 하도록 허용
- INTERNET : 애플리케이션이 네트워크 소켓을 열수 있도록 허용
- READ_CONTACTS : 애플리케이션이 사용자 연락처 데이터에 대한 읽기가 허용
- READ_SMS : 애플리케이션이 메세지를 읽을 수 있도록 허용
classes.dex 파일을 분석하기 위해 dex2jar 툴을 이용하여 jar 파일로 변환 후, java 디컴파일러로 코드를 열어보았습니다.
코드 내부에 보면 특정 URL이 존재하는데 해당 URL 접속하여 관리자 ID, passwd 입력 시 해당 악성코드의 피해자 분들로 보이는 사용자 리스트가 나오게 됩니다.
관련하여 개인톡으로 연락주신 피해자분 번호를 발견하여 지워드렸습니다.
다들 애플리케이션을 다운로드 받을땐 주의해서 받아주세요!
# 악성코드 분석은 https://open.kakao.com/o/s6vnducc 으로 문의주세요. #
'MALWARE > Analysis' 카테고리의 다른 글
| 신종 안드로이드 악성코드 "OPlayer Lite.apk" 분석 (2) | 2021.10.28 |
|---|