ViRobot

하우리샵 바로가기

보안이슈 분석

새롭게 등장한 모바일 워너크라이
등록일 : 2017.09.05

※ 분석 내역


분석환경 :jadx-0.6.1, BytecodeViewer-2.9.8, 안드로이드 가상에뮬레이터(4.1.2)

 

 

1. Android Malware


개요 : SD카드에 존재하는 파일들을 암호화하여 금전을 요구한다.

 ViRobot Mobile Pro

 Trojan-Ransom.Congur

 

 

상세분석 :

(1) 다음은 새롭게 등장한 모바일 워너크라이 아이콘이다.

- 패키지 이름 : com.androin.admin.huanmie

- 버전 코드 : 1

 

 

 

(2) 다음은 모바일 워너크라이가 요구하는 권한 목록이다.  

 모바일 워너크라이 요구 권한

 android.permission.SET_WALLPAPER

 배경화면 지정

 android.permission.ACCESS_WIFI_STATE

 WIFI상태 접근

 android.permission.WRITE_EXTERNAL_STORAGE

 SD카드 파일 쓰기

 android.permission.READ_PHONE_STATE

 통화상태 읽어오기

 android.permission.RECEIVE_BOOT_COMPLETED

 단말기 부팅시

 android.permission.READ_EXTERNAL_STORAGE

 SD카드 파일 읽

 android.permission.INTERNET

 인터넷 연결

 android.permission.MOUNT_UNMOUNT_FILESYSTEMS

 SD카드 파일 시스템에 접근

 android.permission.ACCESS_NETWORK_STATE

 네트워크 연결 상태 보기

 

   

(3) 모바일 워너크라이를 실행한 화면이다. 이전 버전과는 비슷하지만, 결제시스템이 QQ 로 변경되었음을 알 수 있다.
- 워너크라이 이전 버전과 실행 시 비교 화면

    

                     - 모바일 워너크라이 이전 버전                    - 워너크라이 신 버전

 

 

(3) SD카드 내에 존재하는 모든 파일이 암호화되면서 확장자가 변경된다.
- 파일 암호화 전후

   

                      - 파일 암호화 전                               – 파일 암호화 후

 

 

(4) QQ메신저를 통해 배포자와 연락을 취한다. 

 

 

 

(7) AES 암호화에 사용될 KEY 값을 DES로 생성한다.
- 다음과 같은 긴 문자열을 여러 번 DES 복호화하여 KEY 값을 생성한다. 

 

- 다음은 DES로 복호화된 KEY 값이다. 

 

 

 

(8) SD카드 내에 있는 모든 파일을 암호화하고 확장자를 변경한다.

 

   

- DES로 생성한 KEY 값을 이용하여 SD카드 내에 있는 모든 파일을 AES 암호화한다.

 


 

(9) 단말기의 IMEI 값을 Hash 값으로 변환한 뒤 단말기 화면에 보여준다.
- IMEI 값을 MD5로 변환한 뒤 SHA-1 값으로 변환한다. 



- 변환된 해쉬 값을 단말기 화면에 보여준다.


 

 

 

(10) 암호화된 파일을 복호화하기 위해 KEY 값을 계산한다. 이 KEY 값과 사용자가 입력한 값과 같으면 파일 복호화가 진행된다.

-  SD카드 내에 암호화되어 있는 모든 파일을 AES 복호화한다. 

 

  

목록
본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다.
- 정보사용 문의 : 1:1상담