하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan-Banker.wroba.o
바이로봇 버전정보 : 2014-09-10     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2014-12-08 13:35:01

[주의] 당신의 금융 정보가 위험하다

 

금융정보와 공인인증서를 탈취하는 악성 앱이 발견되어 주의를 요구하고 있다. 이 악성 앱은 사용자가 의심하지 않도록 실제 금융 앱과 유사하게 작동하며 사용자로부터 금융 정보를 입력 받은 뒤 그 정보들과 공인 인증서를 탈취해 서버로 전송한다. 또한 백신 삭제 창을 띄우는 치밀함까지 보여주고 있다.

 

[주요 증상]

- 공인 인증서 탈취

- 금융 정보 탈취

- 악성 은행 앱으로 바꿔치기

- SDcard 내에 있는 모든 데이터 탈취

- SMS 탈취

- 특정 모바일 백신 삭제

 

[분석 정보]

Trojan-Banker.wroba.o 

파일명 : rhreq

 

A. 감염 증상

1) googlappstoy 앱은 google appstore 와 비슷한 이름으로 만들어져 있다실행 시 서버에 접속해 다른 apk 파일을 다운 받는다해당 앱을 실행 시 자동으로 기기가 활성화 되고 서버로부터 다운 받은 악성 apk 
설치를 유도한다.
 


2) 해당 악성 앱의 권한은 다음과 같다. 

 

3) 해당 악성 앱이 설치가 완료 되면 애플리케이션
목록에서 자동으로 아이콘은 숨겨진다.



4) 기기 관리자를 활성화 시킨다.


5) 공인 인증서를 압축해서 bank 인스턴스 변수에 저장
한다
. 

 

6) 은행 정보 입력을 요구하고 카드 정보를
탈취한다
입력 받은 은행 정보와 카드 정보는 최종적으로 sb 변수에 저장된다. 

 


 


 

7) 아래 그림들은 변수 sb 
저장된 값을 txt 파일로 만들고 만들어진 txt 파일은
zip파일로 
압축이 되는 과정을 보여 준다압축 된 zip 파일은 서버와 메일로 전송 된다.

 

 

 

8) 설치 된 금융 앱 목록 전체를 서버에
전송 한다전송 된 금융 앱 목록들은 전화번호로 구별 한다.
 

 

9) sdcard 에 저장 된 파일들은 all.zip 이란 이름으로 압축 해서
서버로 전송한다.
 

 

​10) 현재 실행 중 인 앱이 금융 앱일 경우
악성 앱을 실행시킨다.
 

 

​11) 현재 특정 모바일 백신이 설치 되어 있으면 삭제창을 띄운다. 

12)  sms 발신함에 있는 메시지들을 탈취하여 sms.txt 파일로 sdcard 에 저장 한다. 

 

13) 서버는 일본에 있는 것으로 추정된다.


 

Top