하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan.Spy.Smforw
바이로봇 버전정보 : 2018-02-20.00     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2018-09-21 11:44:34
       택배사 앱을 사칭한 악성 스미싱 앱!

한동안 잠잠했던 스미싱 앱이 다시 나타나기 시작했다. 해당 앱은 택배사를 사칭하는 스미싱 앱으로 기기관리자 권한, 전화번호, 통신사 정보, SMS를 탈취하고 전화 수신, 발신 시 통화를 강제 종료한다.

       [주요증상]
           기기관리자 권한 탈취
           전화번호 탈취
           통신사 정보 탈취
           SMS 탈취
           통화 강제종료

       [분석정보]

       A. 감염경로
           택배사를 사칭하는 스미싱 사이트를 통한 다운로드 및 설치

       B. 감염증상

              1) 해당 악성 앱의 아이콘 모양

[그림 1] 악성 앱 아이콘


              2) 악성 앱이 동작하는 데 필요한 권한은 다음과 같다.
                  악성 앱이 요구하는 권한
                  android.permission.INTERNET
                  android.permission.READ_PHONE_STATE
                  android.permission.BROADCAST_STICKY
                  android.permission.READ_SMS
                  android.permission.SEND_SMS
                  android.permission.RECEIVE_BOOT_COMPLETED
                  android.permission.RECEIVE_SMS
                  android.permission.WRITE_SETTINGS

              3) 전화번호와 통신사 정보를 탈취하여 C&C로 전송한다.

[그림 2] 탈취한 정보 C&C 전송


[그림 3] 전화번호 탈취


[그림 4] 통신사 탈취


              4) 1분마다 주기적으로 악성 앱 실행

[그림 5] 주기적인 악성 앱 실행


              5) 기기 관리자 권한 탈취

[그림 6] 기기 관리자 권한 탈취


              6) SMS 탈취 후 C&C로 전송한다.

[그림 7] SMS 탈취


              7) 전화를 수신, 발신할 때 통화기능을 강제로 종료한다.

[그림 8] 전화 수신 강제 종료


[그림 9] 전화 발신 강제 종료


              8) C&C 주소
              - https://61.231.135.50/

[그림 10] C&C 주소

Top