HAURI

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan-Spy.SmForw.vvs
바이로봇 버전정보 : 2018-08-16.00     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2018-09-21 11:49:34
       사용자 몰래 SMS를 탈취하는 악성 앱

사용자 몰래 SMS를 탈취하는 악성 앱이 발견되었다. CJ대한통운택배라는 아이콘 명으로 사용자를 속여 실행을 유도한 뒤 아이콘을 숨겨 사용자 몰래 악성 행위가 이루어지게 한다.

       [주요증상]
           전화번호 탈취
           SMS 탈취
           전화 강제 종료

       [분석정보]

       A. 감염경로
           스미싱을 통해 악성 앱을 유포한다.

       B. 감염증상

              1) 악성 앱의 아이콘이다.

[그림 1] 악성 앱 아이콘


              2) 악성 앱을 실행하면 기기관리자 활성화를 요구한다.

[그림 2] 악성 앱 실행


              3) 악성 앱이 동작하는 데 필요한 권한은 다음과 같다.
                  악성앱이 요구하는 권한
                  android.permission.INTERNET
                  android.permission.READ_PHONE_STATE
                  android.permission.READ_SMS
                  android.permission.SEND_SMS
                  android.permission.RECEIVE_BOOT_COMPLETED
                  android.permission.RECEIVE_SMS
                  android.permission.WRITE_SETTINGS
                  android.permission.CALL_PHONE
                  android.permission.MODIFY_PHONE_STATE

              4) SMS를 탈취하여 C&C로 전송한다.

[그림 3] SMS탈취1


[그림 4] SMS탈취2

           
              
              5) ‘sorry!-‘ 시작하는 내용의 SMS를 받을 경우 공격자로부터 전달받은 SMS이며 새로운 C&C주소가 쓰여
              져 있으며, 새로운 C&C 주소로 변경한다.


[그림 5] C&C주소 변경


              6) 전화가 걸려오면 강제로 종료시킨다.

[그림 6] 전화 종료


              7) 하드 코딩 되어있는 C&C 주소이다.
              - SMS탈취하여 C&C 로 전송
              - https://1.1XX.XXX.246

[그림 7] C&C 주소

Top