하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan-Agent.vfl
바이로봇 버전정보 : 2014-10-18     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2015-02-16 14:40:18

몸캠 피싱 협박 사건 아시나요?

 

몸캠 피싱이란 채핑 앱에서 자신의 신체사진을 촬여한뒤 상대방과 사진을 교환하는 과정에서 사진을 유포한다고 협박하고 금품을 갈취 하는 방식이다. 가해자는 '채팅에 문제가 있다. 무슨 어플을 설치해라' 라며 악성앱 설치를 유도한다. 이번에 소개할 악성앱이 실제 몸캠 피싱 협박 사건 때 발견된 연락처를 탈취하는 악성앱이다.

 

 

[주요증상]

- 연락처 탈취

- 계정 탈취

 

[분석정보]

A. 진단명

Trojan-Agent.vfl

 

B. 감염증상

1) 9_통합라인 앱의 아이콘 모양이다.

 

 

2) 실행을 시키면 공지사항이라는 다이얼로그창을 띄우며 앱이 종료된다. 

 

 

3) 해당 악성 앱의 권한이다.




4) getContentResolver 메소드를 호출하여 주소록에 있는 _id, display_name 의 컬럼 값을 가져온다. 이 때 주소록에 전화번호가 등록 되어 있는 컬럼 값만 가져온다.

  

 

5) 가져온 _id 값을 이용하여 전화번호만 가져온다. 가져온 전화번호는 lovalVector1 에 저장하고 그에 해당하는 display_name 즉 이름은 localVector2 에 저장한다.

  

 

6) 주소록에서 가져온 이름과 전화번호를 메일로 전송하기 위해 값들을 contacts 변수에 '이름:전화번호n' 형식으로 저장한다.

 

 

7) 만약 기기에 mail, sns 등의 계정들이 저장되어 있다면 그 계정들을 탈취한다. 

   

 

8) gmail 를 이용하여 연락처와 계정 정보들을 악성 앱 유포자로 전송한다. 

 


9) 탈취 된 정보를 확인 할 수 있도록 메일 주소를 수정하여 리패키징하고 메일을 확인한다. 

  

Top