하우리 로고 이미지

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

가상화폐 거래소를 사칭하는 악성 앱 발견!
등록일 :
2018.04.12

 □ 개요

최근 전 세계적으로 가상화폐 열풍이 불면서 그에 따른 보안 문제도 증가하고 있다. 지금까지 모바일에서 발견된 가상화폐 관련 악성코드는 가상화폐를 채굴하는 목적으로 나왔지만, 이번에 발견된 악성 앱은 가상화폐 거래소를 사칭하여 해당 단말기의 정보를 탈취한다.

 

□ 내용

(1) 악성 앱은 Bithumb으로 위장하고 있으며, 패키지명과 버전은 다음과 같다.

- 패키지 이름: com.bithumb.kr

- 버전 코드: 1

 

[그림 1] 악성 앱 아이콘


 (2) 악성 앱이 동작하기 위해 필요한 권한은 다음과 같다.

악성 앱이 요구하는 권한

android.permission.READ_PHONE_STATE

android.permission.INTERNET

android.permission.BLUETOOTH

android.permission.RECEIVE_SMS

android.permission.READ_SMS

android.permission.RECEIVE_BOOT_COMPLETED

android.permission.READ_EXTERNAL_STORAGE

android.permission.WRITE_EXTERNAL_STORAGE

android.permission.RECORD_AUDIO

 [표 1] 악성 앱 요구 권한

 

(3) 단말기 정보를 탈취하여 서버로 전송한다.

- DeviceID, IMSI, 전화번호 탈취

 [그림 2] 단말기 정보탈취

 

(4) SMS를 탈취하여 서버로 전송한다.

 [그림 3] SMS 탈취

 

 (5) 통화내역을 녹음한다.

 [그림 4] 통화내역 녹음

 

(6) 소켓통신을 통해 탈취한 정보를 서버로 전송한다.

 [그림 5] 탈취한 정보 서버전송

 

(7) 탈취한 정보를 전송할 서버의 IP주소와 Port번호이다.

- IP: 47.XX.XX.107

- Port: 11880

 [그림 6] 서버 IP주소

□ 바이로봇 모바일 업데이트 내역

Trojan-Spy.SmForw

 

 

 

  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top