하우리 로고 이미지

전체메뉴 열기

ViRobot Engine & Virus DB

최신 업데이트 현황과 악성코드 분석 정보 제공

악성코드 분석정보

Trojan-SMS.Agent.xgi
바이로봇 버전정보 : 2014-12-03     활동 OS 플랫폼 : Android     감염시 위험도 :
등록일 :
2015-03-18 10:38:10

민원24 를 사칭한 스미싱!

 

최근 공공기관을 사칭하는 스미싱이 잇따라 등장하고 있다. 그 중 민원 24 을 사칭하여 사용자로부터 클릭을 유도하는 스미싱이 기승을 부리고 있다. 민원24 는 생활 정보나 민원 조회를 할 수 있는 어플 중 하나이다. 공신력있는 공공기관을 사칭하여 사용자를 클릭을 유도함으로서 피해가 커질 것으로 예상된다.

 

[주요증상]

- 기기 정보 탈취

- 연락처 탈취

- 카카오톡 하이재킹

- 카카오톡 제거유도

- SMS 탈취

- 원격제어

 

[분석정보]

A. 감염경로

Android/Trojan-SMS.Agent.xgi 는 스미싱 링크를 통해 유포 되어진다.

 

B. 감염증상

1) 해당 악성 앱의 아이콘 모양이다.

 

 

 

2) 악성 앱을 실행시키면 기기 관리자 활성화 화면이 뜬다. 

 

 

3) 활성화 버튼을 누르면 화면이 더 이상 넘어가지 않는다.  

  

 

4) 메뉴로 나가면 아이콘이 사라지는 것을 볼 수 있다. 

 

 

5) 해당 악성 앱의 권한이다. 

  

 

6) apk 압축을 푼 후 assets 디렉토리에 있는 ns 파일을 열어보면 des로 암호화 되어 있다. 이 파일을 읽어와서 decrypt 메소드를 호출 한 후 gjoun 이라는 키 값을 이용하여 복호화 시킨 뒤 loadDex 메소드를 이용하여 dex 파일을 연다. 


  
  

 

7) 아이콘을 사라지게 한다. 

 

  

8) 기기 관리자를 활성화 시킨다. 

 

 

9) 기기의 OS 버전과 모델, 전화번호, 디바이스 ID 를 탈취해서 서버로 전송한다. 

  

 

10) 주소록에 저장되어 있는 이름과 전화번호들을 탈취해서 서버로 전송한다. 

  


11) 서버로부터 명령어를 받아오며 이 명령어들은 /sdcard/tmp/.txt 파일 형태로 저장된다. 각 명령어들을 살펴보면 ak40.txt 는 기기정보와 SMS 탈취하고 up.txt, delother.txt 는 카카오톡 앱을 삭제하며 display.txt 는 가짜 카카오톡 앱으로 바꿔치기하는 명령어이다. 


 

  

12) 카카오톡 앱을 실행 시 [그림 15] 과 같이 가짜 카카오톡 화면을 보여준다. 

  


13) 현재 카카오톡 앱 실행 중 이라면 GooglePlayActivity.class 를 실행시킨다. 

 

  

14) 카카오톡 앱이 설치되어 있을 경우 삭제 화면이 뜬다. 

  

 

15) 기기 내에 카카오톡 앱이 설치되어 있다면 카카오톡 삭제 화면을 띄운다.  

  

 

16) 서버로부터 받아온 SMS 발신번호와 내용이 변수 str2 와 str3 에 저장되어 있다. 서버로부터 받아온 SMS 발신번호로 SMS 을 전송한다. 내용이 길다면 MMS 로 전송한다. 

   

 

 

17) sender 에는 탈취한 SMS 주소를 content 에는 탈취한 SMS 내용을 저장한다. 

 

 

​18) 탈취한 SMS 를 서버로 전송한다. 

  

 

19) 서버는 미국에 있는 것으로 추정된다. 

 

 

 

Top