SMS 스미싱 APK 분석 보고서 - Android (2)
date: 2020년 12월 20일
slug: SMS 스미싱 APK 분석 보고서 안드로이드편
author: Kim Hyeongu
status: Public
tags: Analysis, Security
summary: SMS 스미싱 APK 분석 보고서 안드로이드
type: Post
updatedAt: 2023년 5월 7일 오전 11:17
category: 🤖 Computer Science
분석하는데 사용된 툴
Strings64 Tools APK Studio Terminal Emulator LogCat
일반 사용자 기준 설치후 탈취까지
1. APK 설치시 부여되는 권한
해당 URL을 접속하게 되면 크롬 아이콘과 이름을 위장한
[랜덤 값].apk라는 이름의 사용자 스마트폰에 저장하게 됩니다.
2. 악성 어플리케이션 설치 및 실행
어플 설치를 하게되면 홈 화면에 Chrome 이라는 어플이 설치가 되고 어플을 실행하게 되면 어플 아이콘이 사라지면서 상단 아이콘이 하나 생기게 됩니다.
실행 이후 해커의 서버로 통신이 되면서 개인정보들이 유출이 됩니다.
분석 과정 정리
1. APK 디컴파일 (Reverse Engineering)
1-1. APK 설치시 부여되는 상세 권한 코드
APK 디컴파일 후 AndroidManifest.xml 분석을 해본 결과전화, 문자, 주소록, 인터넷 기록, 설치된 어플 정보, 와이파이 정보, 블루투스, 계정정보, IMEI(휴대폰고유식별번호), …
각종 다양한 권한들을 획득하는 것은 알 수 있게 됩니다.
1-2. 디컴파일 후 소스 코드 분석
소스 코드 분석 결과 코드가 난독화 되어있어 제 능력상으론 이후 분석은 불가능 하였습니다.
2. 안드로이드 ROOT 권한을 통한 흐름 분석
결국 이대로 끝낼 순 없다고 생각하여 안드로이드의 ROOT 권한을 획득하여 LogCat으로 흐름을 읽어보았습니다.
2-1. LogCat 어플을 통한 실시간 로그 분석
(4928) connecting: ws://103.9.76.78:28555ws:// <- 웹소켓 프로토콜
SetUID 4298 에서 IP 103.9.76.78 에 포트 28555를 연결할려고 합니다.
(4928) Conn changed: CONECTING(4928) connected
통신을 연결하고 해당 아이피에 접속을 합니다.
D/WifiService( 1819): acquireWifiLockLocked: WifiLock{Swi type=1 binder=android.os.BinderProxy@d86e264}
애플리케이션이 Wi-Fi 라디오를 계속 깨우도록 허용하고, WifiLock을 획득하면 잠금이 해제 될 때까지 라디오가 계속 켜져 있을수 있게하여 통신을 하는 행동으로 확인 되었습니다.Android developer Docs 참고
(4928) onHello(4928) state update
통신이 되고있는지 상태를 확인후 상태정보를 업로드 합니다.
(4928) Conn changed: CLOSING(4928) Conn changed: CLOSED
통신을 끊는 행위까지를 지속적으로 반복을 합니다.
com.j$c$1.a(Unknown Source)
상세하게 알 순 없었으나 해당 패키지된 어플에 대해서 어떠한 행동을 하는 것으로 추측 됩니다.
모든 로그를 본 결과 해당 서버에 접속하여 반복적으로 행동하는 것을 알 수 있게 되었습니다.
3. 안드로이드 메모리 덤프를 통한 분석
Terminal Emulator 을 통해 사용하여 메모리 덤프를 추출하여 행동들을 추적 해보았습니다.
3-1. 프로세스 상태 확인 후 메모리 덤프 추출
~$ ps -ef를 입력하여 프로세스 상태 확인후 비정상적인 패키지를 확인하였습니다.
~$ am dumpheap [setuid] [덤프 저장할 위치와 파일명.hprof] 를 입력하여 메모리 덤프를 저장하였습니다.
3-2. 추출 된 메모리 덤프 분석
해당 dump파일을 PC로 옮겨 Strings64 Tools라는 툴을 사용해 메모리에 담긴 내용을 얻을 수 있었습니다.
덤프 파일 텍스트 변환 후 분석 해본 결과
위치, html view , 문서 기록, SMS 기록, 브라우저 기록
등을
공격자 (IP : 103.9.76.78, 103.9.76.95)
에게 전송하는 것을 반복하는것을 확인 할 수 있엇습니다.
'Security' 카테고리의 다른 글
| DDoS(분산 서비스 거부 공격) 개념 및 공격 코드 (0) | 2024.04.28 |
|---|---|
| SMS 스미싱 APK 분석 보고서 - IOS Web (3) (0) | 2024.04.25 |
| SMS 스미싱 APK 분석 보고서 - 개요 (0) | 2024.04.24 |
