하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan.Piom.qs
바이로봇 버전정보 : 2018-05-09.00     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2018-09-21 11:46:48
       가짜 텔레그램!

가짜 텔레그램앱이 나타나 주의를 요구하고 있다. 원본 텔레그램앱에 광고 라이브러리를 추가하여 리패키징한앱이며, 악성앱 실행 시 광고를 띄워 사용자가 그 광고를 클릭하도록 유도한다. 광고를 클릭 시 사용자는 원치 않는 앱을 다운받게 될 수도 있으며, 다운받은 앱은 악성앱 일 가능성도 있어 위험하다.

       [주요증상]
           텔레그램으로 위장
           광고를 띄워서 앱 설치 유도

       [분석정보]

       A. 감염경로
           구글 스토어에서 사용자가 직접 앱을 다운로드 후 설치하면 감염된다.

       B. 감염증상
           
              
              1) [그림1]은 악성 텔레그램앱과 원본 텔레그램앱을 단말기에 설치한 모습을 보여준다. 악성앱은 원본앱과 아이콘 형
              태가 비슷하며, 앱이름이 Teleg’e’ram으로 e가 더 추가되었다.


[그림 1] 텔레그램 아이콘

           
              
              2) 원본 텔레그램과 다르게 배너를 띄울 수 있는 공간이 생기며, 배너에서 불특정 광고들이 발생하게 된다. 이러한
              광고들은 악의적인 악성앱을 다운로드 할 수 있도록 유도하는 링크를 제공하기 때문에 위협적이며, 클릭시 수익이 발생하는 광고일
              경우 앱 유포자에게 수익이 발생하게 할 수도 있다.


[그림 2] 가짜 텔레그램과 원본 텔레그램 실행 화면


              3) 리패키징된 텔레그램 버전은 알 수 없으나, 배너 이외에 정상 텔레그램의 서비스를 이용할 수 있다.

[그림 3] 텔레그램 서비스 이용가능


       C. 분석 내용

              1) 앱을 실행하면 초기 셋팅으로 앱이름과 방문할 URL을 배너에 저장한 후 배너를 띄워 사용자의 클릭을 유도한다.

[그림 4] 배너 값 설정


[그림 5] 배너 생성 및 시작


       D. 치료 방법
           바이로봇 모바일 2.0 에서 2018-05-09.00 이상 버전으로 치료된다.

       E. 위험도
           보통

Top