|
안드로이드 시스템 업데이트로 위장한 스파이웨어 악성코드 침해사고분석팀 2017.04.26 |
|
|
1.개요
2.확인 내역 <그림 - 1>은 플레이 스토어에 등록된 해당 악성코드이다.(지금은 삭제되어 확인 할 수 없다.)
<그림 - 1> 업데이트 앱을 위장하여 스토어에 등록된 악성코드
해당 앱을 실행하면 아래 <그림 -2>와 같이 메시지를 띄우고 종료되지만 실제로는 설치가 완료되어 악성행위를 수행할 수 있다.
<그림 -2> 악성코드 실행 화면
다음의 < 그림 -3>은 해당 악성 코드가 사용하는 퍼미션 및 액티비티등이다. 주로 위치 및 SMS를 사용하는 것을 알 수 있다.
<그림 -3> 권한 및 액티비티 등등
<그림 -4>는 주요 행위를 담고 있는 class 이다.
<그림 -4> class List
1)MyLocationService 해당 클래스의 주요 행위는 사용자의 마지막 위치를 가져와서 Shared Preference에 설정한다.
<그림 - 5> MyLocationService 소스 코드
2) Incoming SMS 해당 클래스의 주요 행위는 <그림 - 6>에 보이는 바와 같이 SMS 메세지가 23자 이상이며 내용중에 "vova-... "을 포함 하는 특정 구문을 찾도록 설계되었다.
<그림 -6> Incomming SMS 소스코드 1
그리고 get-faq문자를 포함한 메시지를 검색하는 코드도 존재한다.
<그림 - 7> Incomming SMS 소스코드 2
해당 악성코드가 설치되면 공격자는 "get-faq" 메시지를 보내고 감염된 기기는 일련의 명령어를 보내게 된다.
public String userManual = " USAGE INSTRUCTIONS FOR LOCATION SERVICE:
위의 문자내용에 보이듯이 배터리가 낮을 경우 위치정보를 설정한다. 공격자는 패스워드를 설정할 수 있지만 디폴트 패스워드(Vova)를 통해서도 접근이 가능하다. 패스워드와 폰 번호가 한 번 설정이 되면 공격자에게 위치정보를 전달하게 된다. 아래 <그림 - 8>은 해당 행위를 수행하는 코드이다.
<그림 - 8> 위도와 경도 확인하는 소스 코드
3.정리 공식 구글 플레이 스토어에 정식으로 등록이 된 악성코드이다. 일반 악성코드외 다르게 SMS로 행위를 수행하고 특정 조건하에서 작동이하기 때문에 등록이 가능한 것으로 보여진다. 일반 사용자들의 공식적인 스토어에서도 의심스러운 어플리케이션은 설치하지 않도록 유의하도록 하자.
4.대응 방안 1)공식 스토어에서도 의심되는 어플리케이션은 설치하지 않는다
2) Sniper IPS에서는 아래와 같은 패턴으로 대응 가능하다. 정오탐 확인 중(4월 4주차 릴리즈 예정)
5.참고 https://www.grahamcluley.com/fake-android-system-update-really-wants-to-know-your-location/
|
