본문 바로가기

악성 앱 분석

Android.Stiniter_TGLoader Analysis 요즘 안드로이드 봇넷에 관한 연구가 외국에서 활발히 이루어지고 있으며 이와 관련된 악성 앱 또한 많이 발견되고 있는 상황이다. 이러한 상황을 어느정도 파악해 보고자 이렇게 악성 앱 분석을 시도하게 되었다. 지금부터 분석 할 악성 앱은 리팩(RePackage) 된 악성 앱이며, 사용자의 스마트폰 정보를 프리미엄 번호로 메시지 전송을 시도하며 또 원격에 있는 C&C 서버와 통신하는 악성 앱 봇이다. [android.dds.com-STiNiTER.apk]Main에 해당하는 apk 파일이며 해당 파일을 압축해제 한 후 디컴파일 하여 보면 몇가지의 패키지 파일들이 나오는데 원본 앱과 비교하여 보면 com.gamebox.service 패키지가 원본 앱에 없다는 것을 확인 할 수 있다. com.gamebox.serv.. 더보기
Android Malware Analysis(HippoSMS) 중국에 있는 아는 사람이 악성코드 샘플을 분석하던 도중 막히는 부분이 있다며 도움을 요청 해 왔다. 공부를 목적으로 분석하는 도중 분석에 어려운 점이 많아 같이 해보자는 연락이었다. 요즘 안드로이드 공부도 하고 있어 재미있겠다 싶어 분석을 시도해 보았다. 분석 대상은 HippoSMS 라는 악성 앱인데 앱의 레이아웃이나 기능들을 보았을 때 겉으로는 음악파일 다운로드 등의 정상적인 앱의 기능으로 위장하고 있었다. 그러나 최종 목적은 SMS를 통하여 사용자 스마트폰의 추가 요금을 발생 시키고 추가 요금이 발생하면 우리나라도 마찬가지이지만, 중국도 추가 요금을 알리는 문자가 오는데 그 문자를 삭제하여 사용자가 추가 요금 발생을 알아차리지 못하도록 하는 것이었다. 악성 행위를 하는 코드는 의외로 간단하다. 일단 .. 더보기