꿈을꾸는 파랑새

오늘은 안드로이드 악성코드인 필라테스 악성코드에 대해 간단하게 분석을 해보겠습니다. 일단 해당 악성코드는 안드로이드 스마트폰을 감염을 시켜서 개인정보를 가져가는 악성코드로 일단 기본적으로 악성코드가 취하는 악성코드 권한은 다음과 같습니다.
일단 기본적으로 홍콩으로 접속으로 접속을 통해서 개인정보를 전송하게 돼 있으며 기본적으로 스마트폰에서 감염을 시켜서 가져가는 정보는 다음과 같습니다.
문자,전화 기록,사진 미디어(갤러리),위치정보입니다.
안드로이드 권한
android.permission.ACCESS_COARSE_LOCATION
android.permission.ACCESS_FINE_LOCATION
android.permission.ACCESS_LOCATION_EXTRA_COMMANDS
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_WIFI_STATE

필라테스 AndroidManifest필라테스 AndroidManifest

android.permission.FOREGROUND_SERVICE
android.permission.GET_TASKS
android.permission.INTERNET",
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.READ_PHONE_STATE
android.permission.READ_SMS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.RECORD_AUDIO
android.permission.REORDER_TASKS
android.permission.WRITE_EXTERNAL_STORAGE

필라테스.apk 악성코드 전송 서버필라테스.apk 악성코드 전송 서버

해시값
MD5:94241bc4b8f691b16a67553e1087bf4d
SHA-1:35ebfde38d4a878bad23946e65faf5f82a353b6c
SHA-256:3c2c4c71711a02774f9d9fcd8521be24255944c2c907cde51005372b81a583ee
com.tsfsatsag.aa.aa 에 있는 내용
a = aa("RyxfL35E1qDnXYCWV6mc604X2lnF+U58yb8zVuJdJBBFydudFmgSlA==");=112.213.97.15?:8989/api/set
b = aa("RyxfL35E1qDnXYCWV6mc604X2lnF+U58R8vxmZ8ceFMcOS86rTsyyQ==");=112.213.97.15?:8989/api/upload
String str1 = encryptPassword(a);
String str2 = encryptPassword(b);
Log.e("s", str1);
Log.e("s1", str2);
ArrayList arrayList = getGalleryPhotos(po.context.getContentResolver());
암호화해서 C2 서버로 업로드

악성코드 IP 주소악성코드 IP 주소

그리고 Bytecode-Viewer로 보면 다음과 같은 항목들이 들어가져 있는 것을 볼 수가 있습니다.그리고 악성코드에 포함이 되어져 있는 查看错误码说明를 구글 번역기로 번역을 해보면 오류 코드 설명보기 로 번역이 되었습니다.
http://lbs.amap.co?/api/android-location-sdk/guide/utilities/errorcode/查看错误码说明" at method com/amap/api/location/AMapLocation.getErrorInfo(()Ljava/lang/String;)
http://restsdk.amap.co?/v3/config/district?" at method com/loc/a.b((ILandroid/os/Bundle;)V)
http://restsdk.amap.co?/v3/place/around?" at method com/loc/a.b((ILandroid/os/Bundle;)V)
http://restsdk.amap.co?/v3/place/text?" at method com/loc/a.b((ILandroid/os/Bundle;)V)
http://cgicol.amap.co?/collection/collectData?src=baseCol&ver=v74&" at method com/loc/cb.a(([B)Z)
http://" at method co?/loc/cb.a(([B)Z)
http://" at method co?/loc/ec$1.run(()V)
http://abroad.apilocate.amap.co?/mobile/binary" at method com/loc/ec.a((Lcom/loc/ef;I)Ljava/lang/String;)
http://dualstack-restsdk.amap.co?/v3/geocode/regeo" at method com/loc/ee.a((Landroid/content/Context;DD)Ljava/lang/String;)
http://restsdk.amap.co?/v3/geocode/regeo" at method com/loc/ee.a((Landroid/content/Context;DD)Ljava/lang/String;)
http://restsdk.amap.co?/v3/geocode/regeo" at method com/loc/ee.a((Landroid/content/Context;DD)Ljava/lang/String;)
http://apilocate.amap.co?/mobile/binary" at field com/loc/ej.a(Ljava/lang/String;)
http://dualstack.apilocate.amap.co?/mobile/binary" at field com/loc/ej.b(Ljava/lang/String;)
http://abroad.apilocate.amap.co?/mobile/binary" at method com/loc/ej.a((Landroid/content/Context;)V)
http://abroad.apilocate.amap.co?/mobile/binary" at method com/loc/ej.c((Landroid/content/Context;)V)
http://abroad.apilocate.amap.co?/mobile/binary" at method com/loc/ej.c((Landroid/content/Context;)V)
http://apilocate.amap.co?/mobile/binary" at method com/loc/ej.c((Landroid/content/Context;)V)
http://dualstack.apilocate.amap.co?/mobile/binary" at method com/loc/ej.c((Landroid/content/Context;)V)
http://abroad.apilocate.amap.co?/mobile/binary" at method com/loc/en.a((Landroid/content/Context;Lcom/amap/api/location/AMapLocation;Lcom/loc/dm;)V)
http://restsdk.amap.co?" at method com/loc/s.a((Landroid/content/Context;)Ljava/net/Proxy;)
http://restsdk.amap.co?/v3/iasdkauth" at method com/loc/l$c.c(()Ljava/lang/String;)
http://restsdk.amap.co?/v3/iasdkauth" at method com/loc/l$c.d(()Ljava/lang/String;)
로 입력이 된것을 볼수가 있습니다.
해당 IP주소를 조회를 하면 다음과 같습니다.
IP Address:112.213.97(.)158
[IP Blacklist Check]
Reverse DNS:** server can't find 158.97.213(.)112.in-addr.arpa: SERVFAIL
Hostname:112.213.97(.)158
Location For an IP: 112.213.97(.)158
Continent:Asia (AS)
Country:Hong Kong
IP Location Find In Hong Kong (HK)
Capital:Hong Kong
State:Unknown
City Location:Unknown
ISP:Sun Network (Hong Kong) Limited
Organization:Sun Network (Hong Kong) Limited
AS Number:AS38197 Sun Network (Hong Kong) Limited - HongKong Backbone
입니다. 일단 해당 정보들을 수집해가면 기본적으로 보이스피싱 같은 사기에 피해를 볼 수가 있으므로 조심하는 것이 좋으면 기본적으로 안드로이드 백신 앱을 스마트폰에 설치해서 사용을 하는것이 좋습니다.가장 무난하게 V3가 국내에서는 개인적으로 추천하는 제품이며 해외에서는 ESET,Kaspersky,Symantec 제품들을 유료 결제해서 사용하는것도 좋을것 같습니다.이런 악성 앱에 당하지 않으려면 기본적으로 스마트폰에 오는 단축주소 같은 것은 함부로 클릭하고 다운로드한 APK를 설치를 하는것은 하지 말아야 합니다. 물론 공식 스토어가 아니면 구글에서는 경고하겠지만 해당 경고를 무시하지 말아야 안전하게 스마트폰을 사용하는 방법입니다.그리고 스마트폰 브라우저들은 다양한 브라우저를 사용을 하고 있지만 구글 크롬,파이어폭스 등과 같이 세이프 브라우징을 지원을 하는 브라우저를 사용을 하는것도 좋을것 같습니다.물론 브라우저 선택은 본인이 선택을 하시는것이지만 다른 브라우저를 사용을 하고 있더라도 기본적인 보안 기능은 끄지 않고 사용을 하시면 도움이 될것입니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band