하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan-Banker.Wroba.axc
바이로봇 버전정보 : 2018-04-13.00     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2018-09-21 11:45:31
       은행 앱을 가장한 SMS 탈취 앱!

국내 은행 앱을 가장한 SMS 탈취 앱이 발견되었다. 해당 악성 앱은 가상 에뮬레이터에서 동작하지 않으며, 실제 스마트폰 단말기에서만 실행되도록 만들어졌다. 또한, C&C 서버는 한눈에 알아보기 어렵게 하나하나 조각내서 하드코딩 되어 있다.

       [주요증상]
           가상 에뮬레이터 종료
           개인정보(주소록/통화기록/SMS) 탈취

       [분석정보]

       A. 감염경로
           악의적인 목적으로 만들어진 가짜 웹사이트를 통한 악성 앱 다운로드 유도

       B. 감염증상

              1) 해당 악성 앱이 설치 되면 국내은행의 아이콘으로 바탕화면에 나타난다.

[그림 1] 악성 앱 바탕화면 아이콘


              2) 악성 앱을 실행하면 ‘정상처리 되었습니다.’라는 문구가 표시되고, 바탕화면의 아이콘은 사라진다.

[그림 2] 악성 앱 실행 안내


       C. 분석 내용

              1) 악성 앱이 동작하는 데 필요한 권한은 다음과 같다.
                       악성 앱이 요구하는 권한
                       android.permission.WRITE_EXTERNAL_STORAGE
                       android.permission.MOUNT_UNMOUNT_FILESYSTEMS
                       android.permission.CALL_PHONE
                       android.permission.READ_PHONE_STATE
                       android.permission.INTERNET
                       android.permission.READ_CONTACTS
                       android.permission.PROCESS_INCOMING_CALLS
                       android.permission.READ_SMS
                       android.permission.WRITE_CONTACTS
                       android.permission.ACCESS_NETWORK_STATE
                       android.permission.DISABLE_KEYGUARD
                       android.permission.WAKE_LOCK
                       android.permission.WRITE_SETTINGS
                       android.permission.GET_TASKS
                       android.permission.ACCESS_WIFI_STATE
                       android.permission.CHANGE_NETWORK_STATE
                       android.permission.CHANGE_WIFI_STATE
                       android.permission.PORCESS_OUTGOING_CALLS
                       android.permission.SYSTEM_ALERT_WINDOW
                       android.permission.RECEIVE_BOOT_COMPLETED
                       android.permission.READ_CALL_LOG
                       android.permission.WRITE_CALL_LOG
           
              
              2) 스마트폰 단말기에서만 실행되며, 바탕화면의 아이콘은 사라진다. 가상 에뮬레이터에서 실행되면 앱이 종료되도록 제
              작되어 있다.


[그림 3] 가상 에뮬레이터 확인


              3) 주소록을 탈취 후 C&C 서버로 전송한다.

[그림 4] 주소록 탈취


              4) 통화기록을 탈취 후 C&C 서버로 전송한다.

[그림 5] 통화기록 탈취


              5) SMS 탈취 후 C&C 서버로 전송한다.

[그림 6] SMS 탈취


              6) C&C 서버 주소
                       C&C 서버는 변수마다 하나의 값으로 저장되어 있고, 각 변수의 값을 더해 하나의 URL 주소를 완성한다. 기
                본 URL(https://orXXX19.com:8079/animi/XXXXXXXXXXXX) 뒤에 탈취한 정보에 따라 C&C 서버
                에 정보를 전송하는 주소가 달라진다. 해당 C&C 서버는 탈취한 정보를 업로드 할 때 만 사용한다.

                       주소록 탈취 : https://orXXX19.com:8079/animi/XXXXXXXXXXXX.php?type=contect
                       통화기록 탈취 : https://orXXX19.com:8079/animi/XXXXXXXXXXX.php?type=call
                       SMS 탈취 : https://orXXX19.com:8079/animi/XXXXXXXXXXX.php?type=sms

[그림 7] C&C 서버 주소

Top