inroot

요즘 안드로이드 기반 악성코드가 지속적으로 유포되고 있습니다.

이번에 분석할 악성코드는 SNS나 채팅 등으로 유포되고 있는 "OPlayer Lite.apk" 악성코드 입니다.

파일명 : OPlayer Lite.apk
MD5   : a3240dcede5740819fe68ec38c535086
SHA-1 : 3f2ce5445dfc43a5086877a803c755fa45217afd
SHA-256 : 2c25e9ed36e4c63456c719392783d6b129103eeeeaba94bc3fa1e2f899ed8525

해당 악성코드는 실행 시, 전화번호 기재 란을 볼 수 있으며 SMS, 연락처 등의 권한 요청을 수행하게 됩니다.

악성코드가 요청하는 권한을 살펴보면 CONTACTS, SMS, STORAGE 등 핸드폰 내부 정보 탈취가 가능한 여러 퍼미션들이 포함되어 있는 것을 확인 할 수 있습니다.

파일(index.android.bundle) 코드 분석 결과, 다음과 같은 도메인과 통신함을 확인할 수 있습니다.

http[s://www.hd]playerhub.xyz/

해당 악성코드 설치 및 실행 시, 어떤 악의적인 동작을 하는지 살펴보도록 하겠습니다.

(1) "악성 도메인/index/Phone_Obtain/add" 로 핸드폰 정보를 전송합니다.

(2) "악성 도메인/index/Phone_user/add"로 주소록 내용을 전송합니다.

(3) "악성 도메인/index/Phone_sms/add"로 SMS 기록을 전송합니다.

그 외에도 이미지 파일 등의 정보 전송을 요청하는 것을 확인할 수 있습니다.

해당 악성코드 바이러스 토탈 조회 결과, 국내 백신에서는 탐지되지 않아 각별한 주의가 필요해보입니다.

# 악성코드 분석은 https://open.kakao.com/o/s6vnducc 으로 문의주세요. #

요즘 몸캠 수법을 이용하여 개인정보를 탈취하는 악성코드 활발히 유포중입니다.

유튜브 댓글을 통해 카톡 아이디를 유포한 다음 몸캠을 보여준다고 하여 해당 파일 실행을 유도하는데요.

오늘 분석 의뢰 받은 파일은 내영상av.rar이라는 압축파일에 담긴 "혼자만봐.apk" 악성코드 입니다.

파일명 : 혼자만봐.apk

MD5   : e37304cb18be94741d1a351d54dac2d7

SHA-1 : f8241e38d811b6432c163dc7df0febbcbe7ae8a1

SHA-256 : d0f88bfa9349a80a8a9ed246af5ba9de65f008ce0c96302380680733c11ad6ae 

해당 악성코드는 국내백신에서 Trojan/Android.SMSstealer.993516 진단명으로 치료되고 있습니다.

파일 내부를 보시면, 아래 보이는 파일들이 존재합니다.

AndroidManifest.xml 파일에서 해당 어플이 갖는 권한을 확인해보았습니다.

BOOT_COMPLETEDM ACCESS_NETWORK_STATE, ACCESS_WIFI_STATE, READ_SMS 등 핸드폰 내부의 정보 탈취가 가능한 여러 퍼미션들이 포함되어 있습니다.

해당 애플리케이션 권한 허용 시, 연락처와 문자, 핸드폰 상태의 정보를 해커가 확인할 수 있으며 네트워크 WIFI 정보에 접근이 가능한 권한까지 포함되어 있는 걸 볼 수 있습니다.

또한, 화면이 어두워지거나 대기 상태가 되면 프로세스를 유지할 수 있게 해주는 WAKE_LOCK 권한까지 추가해놓았습니다.

 - ACCESS_NETWORK_STATE : 애플리케이션이 네트워크에 대한 정보에 접근 하도록 허용

 - ACCESS_WIFI_STATE : 애플리케이션이 와이파이 정보에 접근 하도록 허용

 - INTERNET : 애플리케이션이 네트워크 소켓을 열수 있도록 허용

 - READ_CONTACTS : 애플리케이션이 사용자 연락처 데이터에 대한 읽기가 허용

 - READ_SMS : 애플리케이션이 메세지를 읽을 수 있도록 허용

classes.dex 파일을 분석하기 위해 dex2jar 툴을 이용하여 jar 파일로 변환 후, java 디컴파일러로 코드를 열어보았습니다.

코드 내부에 보면 특정 URL이 존재하는데 해당 URL 접속하여 관리자 ID, passwd 입력 시 해당 악성코드의 피해자 분들로 보이는 사용자 리스트가 나오게 됩니다.

관련하여 개인톡으로 연락주신 피해자분 번호를 발견하여 지워드렸습니다.

다들 애플리케이션을 다운로드 받을땐 주의해서 받아주세요!

# 악성코드 분석은 https://open.kakao.com/o/s6vnducc 으로 문의주세요. #

#01_리버싱 스토리

1.1. 리버스 엔지니어링

리버스 엔지니어링(Reverse Engineering, 역공학)이란 물건이나 기계 장치 혹은 시스템 등의 구조, 기능, 동작 등을 분석하여 그 원리를 이해하며 단점을 보완하고 새로운 아이디어를 추가하는 일련의 작업

1.2. 리버스 코드 엔지니어링

리버스 코드 엔지니어링은 소프트웨어 분야의 리버스 엔지니어링

1.2.1. 리버싱(분석) 방법

실행 파일(exe)의 분석 방법에는 정적 분석과 동적 분석으로 크게 두가지 방법 존재

 - 정적 분석 : 파일의 겉모습을 관찰하여 분석하는 방법으로 파일을 실행하지 않고 파일의 종류, 크기, 헤더 정보, API, 내부 문자열, 실행 압축 여부, 등록 정보, 디버깅 정보, 디지털 인증서 등의 다양한 내용을 확인하는 것.

   또한 디스어셈블러(Disassembler)를 이용해서 내부 코드와 그 구조를 확인하는 것도 정적 분석의 범주에 들어감

 - 동적 분석 : 파일을 직접 실행시켜서 그 행위를 분석하고, 디버깅을 통하여 코드 흐름과 메모리 상태 등을 자세히 살펴보는 방법으로 파일, 레지스트리, 네트워크 등을 관찰하ㅏ면서 프로그램의 행위를 분석함. 또한 디버거(Debugger)를 이용하여 프로그램 내부 구조와 동작 원리 분석

1.2.2. Source Code, Hex code, Assembly Code

리버싱에서 취급하는 대상은 보통 실행 파일인 경우가 많으며 소스코드 없이 바이너리 자체를 분석한다.

 - Source Code : 그림과 같이 개발도구 에서 소스코드(.cpp)를 빌드하면 실행 파일 생성

 - Hex Code : 생성된 실행 파일은 컴퓨터가 이해할 수 있는 2진수(바이너리) 형식으로 되어 있음. 하지만 0과 1로만 구분되어 있는 바이너리 파일을 직접 보고 의미를 해석시키는 것은 매우 어려워 2진수를 16진수(Hex)형식으로 변환시키곤 하는데, 자릿수가 줄어들면서 보기에 수월함. tmain()의 소스코드는 빌드 과정을 거치면서 다음 그림과 같은 Hex Code로 변환됨.

 - Assembly Code : 사람이 좀 더 이해하기 쉬운 코드 형태로 일반적인 리버싱 과정에서는 어셈블리 코드를 분석함.

1.2.3. 패치와 크랙

프로그램의 파일 혹은 실행중인 프로세스 메모리의 내용을 변경하는 작업을 패치(Patch)라고 함.

크랙(crack)은 패치와 같은 개념이지만 특별히 그 의도가 비합법적이고 비도덕적인 경우를 구분하여 말함.

패치의 주된 목적은 프로그램의 취약점 수정 기능 개선 등이며, 크랙은 주로 저작권을 침해하는 행위에 사용됨.