꿈을꾸는 파랑새

반응형

오늘은 카카오뱅크 사칭 피싱 악성코드 인 kakaobank.apk에 대해 글을 적어 보겠습니다.
일단 기본적으로 해당 악성코드는 스미싱 공격 아니며 보이스피싱을 통해서 피싱사이트에 접속을 해서 가짜 카카옿톡사이트에서 악성코드 앱인 kakaobank(?)apk 를 다운로드를 실행을 하고 개인정보를 훔치는 앱을 합니다.
일단 기본적으로 접속하는 피싱 사이트는 다음과 같습니다.
hxxp://191.101.234(.)104/ -> hxxp://191.101.234(.)104/kakaobank.apk
입니다. 일단 해당 부분은 작년 12월 18일에 발견이 되었고 지금은 해당 웹사이트는 폭발되었습니다. 해당 앱에서 스마트폰에서 수집 이 아닌 훔치는 정보는 다음과 같습니다.
apps list(앱 리스트)
calls log(전화 로그)
contacts(연락처)
SMS(문자, 메시지)

가짜 카카오뱅크 사이트

를 훔치는 것입니다. 기존 금융 사기 치는 수법하고 똑같습니다. 문자, 카카오톡 등을 통해서 뿌리고 해당 사이트에 접속을 하게 유도를 하고 그리고 해당 앱을 다운로드해서 설치 실행을 하게 만드는 눈에 보이는 범죄 방식입니다. 쉽게 이야기하면 예전에 개인 블로그에 소개해드린 국민은행, 신한은행 이런 가짜 사이트 만들어서 apk 다운로드 설치를 해서 개인정보를 털어 가는 방법을 사용을 하고 있습니다.
일단 해쉬값은 다음과 같습니다.
MD5:a1ce3e8dbb315559826a2188998e1446
SHA-1:54ddb5e0168f715d2dbed0e6fee28431d5fcf1a9
SHA-256:6ffad1606a9b9a95313fb41d8b488aab6fdc49fda7951a7dabc1cb1c928145ed
아마도 카카오뱅크 가 타깃으로 변경이 된 것이 대한민국의 두 번째 인터넷 전문은행 여서 이를 노렸지 않았나 생각이 됩니다.
그리고 해당 악성코드 안드로이드 악성코드 권한은 다음과 같습니다.
android.permission.GET_TASKS
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.KILL_BACKGROUND_PROCESSES
android.permission.VIBRATE
android.permission.WRITE_SYNC_SETTINGS
android.permission.ACCESS_WIFI_STATE
android.permission.CHANGE_WIFI_STATE
android.permission.INTERNET
android.permission.ACCESS_NETWORK_STATE
android.permission.PROCESS_OUTGOING_CALLS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.READ_CALL_LOG
android.permission.WRITE_CALL_LOG
android.permission.READ_PHONE_STATE
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
android.permission.DISABLE_KEYGUARD
android.permission.READ_SMS
android.permission.RECEIVE_SMS
android.permission.REORDER_TASKS
android.permission.READ_CONTACTS
android.permission.AUTHENTICATE_ACCOUNTS
android.permission.GET_ACCOUNTS

악성코드 안드로이드 권한

android.permission.CALL_PHONE
android.permission.ACCESS_COARSE_LOCATION
android.permission.SET_ALARM
android.permission.FOREGROUND_SERVICE
android.permission.CAMERA
android.permission.RECORD_AUDIO
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.BLUETOOTH
android.permission.READ_EXTERNAL_STORAGE
android.permission.ANSWER_PHONE_CALLS
입니다. 보면 사실상 스마트폰에 있는 권한들을 다 가져간다고 보시면 될 것입니다. 보면 사실상 스마트폰에 있는 권한들을 다 가져간다고 보시면 될 것입니다.

악성코드 암호화 된 주소

\com.kbwork.dygaqy.p063a.C1371b 에 보면 다음과 같이 보일 것입니다. 여기서 암호화되어서 작동 URL 주소들은 다음과 같습니다.
/* renamed from: a /
public static final String[] f5544a = {C1432f.m7625c("aHR0cDovL2FsYS5hbGFkaW5lci5vcmc6MjA5NS9hcGk="), C1432f.m7625c("aHR0cDovL2tyLmpoeWFwcC5vcmc6MjA5NS9hcGk="), C1432f.m7625c("aHR0cDovL3BhbmRvcmEuenpmeXAuY29tOjIwOTUvYXBp"), C1432f.m7625c("aHR0cDovL2FwaXNlcnZlci5wYW5kb3JhLWFwcC5uZXQ6MjA5NS9hcGk="), C1432f.m7625c("aHR0cDovL2FwcHNlcnZlci5wYW5kb3JhLWFwcC5uZXQ6MjA5NS9hcGk="), C1432f.m7625c("aHR0cDovL29uZS5wYW5kb3JhLWFwcC5uZXQ6MjA5NS9hcGk="), C1432f.m7625c("aHR0cDovL2N5YmVyLnp6ZnlwLmNvbToyMDk1L2FwaQ==")};
이걸 다시 사람이 보기 쉽게 표현 즉 URL를 보면 다음과 같이 작동 합니다.
hxxp://ala.aladiner(.)org:2095/api
hxxp://kr.jhyapp(.)org:2095/api
hxxp://pandora.zzfyp(.)com:2095/api
hxxp://apiserver.pandora-app(.)net:2095/api
hxxp://appserver.pandora-app(.)net:2095/api
hxxp://one.pandora-app(.)net:2095/api
hxxp://cyber.zzfyp(.)com:2095/api
입니다.

스마트폰 전화번호 탈취

그리고 com.kbwork.dygaqy.p073i.C1427b 부분에서 f 부분에서는 전화번호 훔치기 위한 코드가 준비 되어져 있습니다.
/ renamed from: f */
public static String m7611f(Context context) {
String line1Number = ((TelephonyManager) context.getSystemService("phone")).getLine1Number();
return TextUtils.isEmpty(line1Number) ? "Unknown" : (line1Number.length() <= 1 || line1Number.charAt(0) != '+') ? line1Number : line1Number.substring(1);
}

스마트폰 IMEI

그리고 같은 부분에 있는 b 부분에서는 IMEI,iccid 를 훔치기 위해서 다음과 같은 코드가 있습니다.

renamed from: b */
public static String m7607b(Context context) {

  if (!C1372c.m7387c(context).mo6778h("is_first")) {
      return C1372c.m7387c(context).mo6775e("device_number");
  }
  String deviceId = ((TelephonyManager) context.getSystemService("phone")).getDeviceId();
  if (deviceId == null) {
      deviceId = m7609d();
  }
  if (deviceId.isEmpty()) {
      deviceId = ((TelephonyManager) context.getSystemService("phone")).getSimSerialNumber();
  }
  if (deviceId.isEmpty()) {
      deviceId = C1432f.m7637o();
  }
  C1372c.m7387c(context).mo6780j("is_first");
  C1372c.m7387c(context).mo6781k("device_number", deviceId);
  return deviceId;

}

이렇게 악성코드가 구성이 되어 있습니다. 물론 더 많은 것이 있지만 시간 관계상 생략합니다.
기본적으로 포함이 된 주소들은 대부분 단축 주소 들일 것입니다. 정상적으로 보내는 업체들은 단축 주소를 사용을 하고 있지 않고 있습니다. 그리고 카카오톡이나 문자에서 숫자들로만 구성이 된 주소도 보일 것인데 해당 부분도 99.999999999% 악성코드를 퍼뜨리기 위한 피싱 사이트라고 확신하시면 됩니다. 아무튼 검증된 백신앱과 후스콜, 후후 같은 서비스를 이용을 하고 그리고 통신사에서는 기본적으로 스팸 차단 서비스가 지원을 하고 있습니다. 서비스 이용요금은 무료입니다. 해당 부분을 활성화해서 사용을 하시면 도움이 될 것입니다.

반응형

댓글

비밀글모드

  1. 안녕하세요,

    이러한 은행 피싱/사칭 앱들을 더 자세히 보고 싶은데 어디서 apk들을 찾을 수 있을까요? 혹여나 과거에 분석하신 피싱앱 apk들 아직 있으시다면 그리고 곤란하지 않으시다면 공유 안될까요??

    PS. 항상 다양한 분석 포스팅 감사합니다, 재밌게 보고 있어요!
    2021.01.24 23:44 신고
    • 샘플은 인터넷에 검색을 해보시면 나옵니다.개인적으로 직접 받은 악성코드도 있습니다.저는 악성코드는 분해 하고 나서 삭제를 하고 있습니다.그렇게 따로 보관을 하고 있지 않습니다.
      2021.01.25 00:08 신고
    • 추신:개인적으로 일본 쪽 친구들로 부터도 정보를 제공 받고 있습니다.
      2021.01.25 06:09 신고
    • 빠른 댓 감사합니다!

      한동안 인터넷에 한글로도 영어로도 찾아봤는데 매번 안티피싱앱 정보만 나오더라고요 오픈 소스에서 제가 찾은 바로는 RAT은 꽤 있던데 한국에서 유명한 보이스피싱에 직접적으로 사용되는 apk들은 아직 보질 못했어요. 인터넷에 검색하시는 비결이 따로 있으신지...힌트라도 던져주심 안될까요??ㅠㅠㅠ
      2021.01.25 14:58 신고
    • intezer analyze 입니다.
      2021.01.26 01:10 신고
    • 다른 방법은 통신사에서 제공 하는 스팸 걸러주는 서비스 해제 및 후후 같은 서비스에서 스팸 차단 풀면 샘플 수집하는데 도움이 됩니다.
      2021.01.26 05:39 신고
    • 좋은 정보 감사합니다, 덕분에 찾았어요!!
      2021.01.26 12:20 신고