하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan.Tekya
바이로봇 버전정보 : 2020-12-16     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2020-12-16 17:01:25

- 개요 

구글 플레이 스토어에서 Tekya 악성 앱이 발견되었다. 현재는 구글 플레이 스토어에서 삭제되었으나 이와 비슷한 변종 앱을 다운 받지 않도록 주의를 요구한다.

 

- 내용 

악성 앱 아이콘과 실행 화면이다.


[그림 1] 악성 앱 아이콘 및 실행 화면


libtenjin.so를 메모리에 로딩한 뒤, com/google/android/gms/internal/ads/zzzca 메소드를 실행시킨다.

[그림 2] 정적 메소드 실행

 

 

C&C주소는 base64로 인코딩되어 있다.
- C&C: hxxp://static.tenjin.icu/res/tenjin-v3.ms

[그림 3] C&C 암호화

 


zzzca는 C&C로부터 tenjin.ms파일을 다운받는 기능을 한다. 


[그림 4] 파일 다운


C&C로 받은 파일은 암호화 되어 있으며, Base64와 AES로 이중 복호화 하면 DEX 파일이 드롭된다.

[그림 5] 파일 복호화


[그림 6] Base64 와 AES 암호화


[그림 7] AES 암호화

- 다음과 같은 항목을 탈취한다.
* 기기 정보
* wifi 정보
* 전화 정보
* 위치 정보
* 계정 정보


- 기기 정보들을 탈취한다.  


[그림 8] 기기 정보 탈취

 

 


- wifi 정보 탈취


[그림 9] wifi 정보 탈취



- 전화 정보 탈취

 

 

[그림 10] 전화 정보 탈취


- 위치 정보 탈취

[그림 11] 위치 정보 탈취

 

- 계정 정보 탈취

[그림 12] 계정 정보 탈취


C&C로부터 JSON 정보를 다운 받는다. (해당 JSON파일은 사용되지 않는다.)
- C&C: hxxp://static.tenjin.icu/res/com_waygame_hoppingcat.save

[그림 13] JSON 다운1


[그림 14] JSON 다운2

 
 

Top