하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan-Banker.Tebak
바이로봇 버전정보 : 2018-03-12.00     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2018-09-21 11:45:16
       국내 은행을 가장한 가짜 금융 사기 앱!

국내 은행 앱을 가장한 가짜 은행 앱이 다시 유행하고 있다. 해당 앱은 가짜 웹사이트를 통해 다운 받은 앱을 설치하면 국내 은행 앱이 설치 된다. 하지만, 설치된 앱은 사용자가 입력한 계좌정보와 카메라로 촬영한 보안카드를 C&C 서버로 전송하는 악성 앱으로 밝혀졌다.

       [주요증상]
           전화번호 탈취
           계좌번호 탈취
           계좌비밀번호 탈취
           카드번호 탈취
           결제비밀번호 탈취
           인증서 탈취

       [분석정보]

       A. 감염경로
           가짜 웹사이트를 통해 악성 앱을 유포한다.

       B. 감염증상

              1) 해당 악성 앱의 아이콘 모양

[그림 1] 악성 앱 아이콘


[그림 2] 악성 앱 실행 안내


              2) 악성 앱이 동작하는 데 필요한 권한은 다음과 같다.
                  악성 앱이 요구하는 권한
                  android.permission.SYSTEM_ALERT_WINDOW
                  android.permission.INTERNET
                  android.permission.ACCESS_NETWORK_STATE
                  android.permission.WRITE_EXTERNAL_STORAGE
                  android.permission.READ_PHONE_STATE

              3) SIM번호, 계좌번호, 비밀번호, 결제비밀번호 탈취 후 서버전송

[그림 3] 악성행위


              4) 전화번호 및 SIM 번호 탈취

[그림 4] 전화번호 및 SIM번호 탈취


              5) UI로 입력받은 계좌번호, 계좌 비밀번호, 은행계정 탈취

[그림 5] UI로 입력 받은 정보 탈취


              6) 인증서 탈취

[그림 6] 인증서 탈취


              7) 보안카드 사진 촬영

[그림 7] 보안카드 사진 촬영


              8) NPKI인증서, 보안카드 서버 전송

[그림 8] NPKI인증서, 보안카드 서버 전송


              9) C&C주소
              - NPKI인증서, SIM번호, UI로 입력받은 계좌번호, 비밀번호, 결제비밀번호, 서버 전송
              - https://1.XXX.XX.XX:8855/send_bank.php

[그림 9] C&C 주소

              - NPKI인증서, 보안카드 서버 전송
              - https://113.XX.XXX.XXX/send/upload.php

[그림 10] C&C 주소

Top