서 론
최근 스미싱 공격이 활발하게 이루어 졌다고 해서 스미싱 URL을 찾던 중!!!
다른 악성앱을 발견하였고, 재미있어보여 분석을 해보았습니다.
중국에 서버를 둔 불법 성매매 소개 사이트에서 정상적인 앱이 아니라 악성 앱을 유포한다.
분 석
이 사이트는 안드로이드 앱 뿐만아니라 아이폰용 앱도 설치가 가능하다.
아이폰은 상대적으로 악성앱으로 부터 안전한 것으로 알고 있습니다.
또한 AppStore에 등록 되기까지 몇가지 절차를 거친 후 등록이 되는 것으로 알고 있구요.
하지만
[TIP] 위 사이트 처럼 아이폰에 AppStore에 올라 와있지 않은 앱을 설치할 수 있는 이유는?
'Apple Developer Enterprise Program'방식을 이용한 것이다.
이제
이 어플리케이션이 성매매 연결을 시켜주는 것인지 다른 행위를 하는지 살펴보자!
[중요]
READ_CONTACTS : 주소록 데이터에 접근
READ_SMS : 저장된 문자메시지에 접근할 수 있는 권한
RECEIVE_SMS : 새로 수신되는 SMS를 감지하고, 그 내용 등을 확인할 수 있는 권한
READ/WRITE_EXTERNAL_STORAGE : 외부저장소 파일을 읽을 수 있는 권한
위의 권한에서 생각 해볼 수 있는 것이
"왜? 성매매를 연결시켜주는 앱이 문자 메세지를 읽을 권한과 주소록 읽기 권한이 필요한가?"
그래서 좀더 분석해 보았습니다.
1. 주소록 전송
C2서버랑 연결하기 위해 토큰을 생성합니다.
만약 토큰이 만들어 지지 않으면 파란색 박스로 들어가고,
토큰이 만들어지면 빨간색 박스로 들어가게됩니다.
( 서로 인자가 다릅니다.!!! )
[*] 토큰이 생성 여부에따라 정보수집하는 곳이 나뉘는 것을 알 수 있습니다.
이후
[*] 사용자의 휴대폰 정보와 주소록을 C2서버로 전송합니다.
2. 메세지 전송
[*] 메세지를 수집해 서버로 전송합니다.
3. 사진 전송
[*] 사진을 수집해 서버로 전송합니다.
결 론
운영중인 사이트가 차단되면 다른 도메인을 개설하여 지속해서 운영하고 있는 것으로 판단된다.
(보통 불법 사이트는 x10.com로 시작하면 주소이전은 x11.com이런식으로 이전한다.
그래서 웹 페이지 주소를 추측해 내린 결론이다. )
무엇보다 홈페이지 퀄리티가 있다보니 신뢰성이 있어보이고,
성매매에 눈 먼 대부분의 사람들이 피해를 이미 입지 않을까?생각 한다.
'Malware' 카테고리의 다른 글
| NSO의 페가수스(Pegasus) 악성코드 분석 (0) | 2021.08.07 |
|---|---|
| Lazarus Keylogger (HSMBalance.exe) (+복호화 추가) (0) | 2021.03.03 |
| 금융 정보 탈취 악성코드 이모텟(Emotet) (0) | 2021.01.07 |
| 스미싱(국민건강검진센터) 악성코드 분석 (0) | 2020.12.19 |
| HWP Malware containing COVID-19 contents By Lazarus (코로나19 악성코드) (0) | 2020.11.25 |