HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

북한기도(NKPrayer) 악성앱 주의
등록일 :
2017.12.27

□ 개요 

최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다. 

 

 

□ 내용

북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 

[그림 1] 북한기도 앱 아이콘 


[그림 2] 특정 광고 화면 

 

특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.

 

[그림 3] 북한기도에 관련된 문구가 쓰인 화면 

 

assets/aaa 파일을 설치한다.


[그림 4] aaa 파일 설치

 

assets/bbb 파일을 설치한다.


[그림 5] bbb 파일 설치 

 

bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다. 

[그림 6] 아이콘 숨기기 

 


[그림 7] 실행 시 앱 종료

 

녹음된 파일을 저장한다.

- 저장경로: /sdcard/ToHCallRecord/


[그림 8] 녹음된 파일 저장 경로

 

aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다. 


[그림 9] 계정 정보 탈취