하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Android/Trojan-Banker.Gepw.dn
바이로봇 버전정보 : 2014-09-07     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2014-12-02 09:59:49

당신의 기기에 또 다른 앱이?

 

second 앱 설치를 유도하여 정보를 탈취하는 악성 앱이 발견되어 주의를 요하고 있다. 이 악성 앱의 이름은 SlientInstall 이며 이름 그대로 사용자로부터 second 앱 설치를 유도하며 설치된 second 앱은 SMS 와 주소록을 탈취하는 악성 앱이다.

 

[주요증상]

- 'googleplays' 악성 앱 설치 유도

- SMS 탈취

- 주소록 탈취

 

[분석 정보]

1. Android/Trojan-Banker.Gepw.dn

파일명 : lnavety

 

A. 감염 증상

1) SlientInstall 앱 은 또 다른 apk 파일이 포함 되어 있다. 이 앱을 실행 하면 googleplays 앱이 설치가 된다. 




 

2) 해당 악성 앱의 권한은 다음과 같다. 



3) googleplays 앱 설치 여부에 대해서 물어 본다. 
  

4) googleplays 앱이 설치가 완료가 되면 기기 활성화 여부에 대해서 물어본다. 

  

 


5) 해당 악성 앱이 설치가 완료되면 애플리케이션 목록에서 아이콘은 숨겨진다. 


6) SMS 를 탈취해서 변수에 저장한 후 변수 값을 DB 에 저장 한다. DB 에 저장된 SMS 를 업로드한다.




7) 악성 앱이 설치 된 기기의 전화번호를 서버에 전송 하고 서버는 SMS 를 보낼 전화번호와 내용을 해당 기기에 전송 한다. 악성 앱이 설치 된 기기는 서버로부터 받은 전화번호로 SMS를 전송한다.





8) 서버는 일본에 있는 것으로 추정된다.

Top