부고장, 경찰청 피싱 악성 앱 분석 (3) - 기능 분석 악성 앱 분석의 하이라이트입니다. 과정보다는 해당 코드의 내용을 보면서 어떤 역할을 하는지 간단하게 봅시다. 최대한 실행 후 진행되는 순서대로 작성했습니다만 순차대로 일어나지 않을 수도 있습니다. 기본적으로 정적 분석을 진행하였으므로, 실제 동작과 다른 부분이 있을 수 있습니다. 제 미숙함으로 여겨주시고 알려주시면 감사하겠습니다 악용될 가능성이 있기 때문에 너무 자세한 분석은 공개하지 않겠습니다.(어떻게 공격자 서버로 전달되는 지, 접근하는 지 등) 아래 모든 행위는 권한을 허용했을 때 발생합니다. 실행을 하더라도 권한을 허용하지 않으면 대부분의 동작은 수행되지 않습니다. 0. 기본 설정 첫번째로 공격자 웹 서버 관련입니다. 공격자 서버가 설정되어 있습니다. 아래에는 핸드폰에 저장된 NPKI 인증서 파일.. 부고장, 경찰청 피싱 악성 앱 분석 (2) - 문자열 복호화 이 앱의 로직을 보면 아래와 같이 암호화가 되어 있습니다. 다행히 복호 로직은 어렵지 않습니다만, 가독성을 너무 해치고 분석 시간도 오래걸립니다. 메소드 명도 참 기괴하죠? 생각보다 어려운 로직은 아닙니다. base64랑 xor 두가지만 수행합니다. 다만 왜인지 Jeb에서 자동으로 복호화를 안해주더라구요. 보기가 참 난감한데.. 복호화를 수행해봅시다. 우선 이름이 unicode라서 여러가지로 귀찮아질 거 같아서 이름부터 바꿔주었습니다. dex파일 format을 살펴가며 이름을 바꿔주면 아래와 같이 이름이 바뀝니다. 1. dex2jar String decodedex2jar는 Android 입문할 때 많이 듣던 툴인데, 여기에 유용한 기능이 있다고 해서 사용했습니다. 다만 시행착오가 많이 걸렸는데.. 우선 .. 부고장, 경찰청 피싱 악성 앱 분석 (1) - AndroidManifest.xml 난독 해제 AndroidManifest가 잘 보여야 분석이 수월하기 때문에 난독을 해제해봅시다. 요즘은 xml binary 파싱을 어렵게 해서 Manifest파일도 Decompile이 어렵게 하는 등 난독을 수행한다고 하더라구요. 이런것도 잘 파싱해주는 좋은 툴이 있지만 바이너리를 뒤져보면서 고쳐보는것도 한번쯤 해볼만 한 것 같아요 처음 발생하는 에러입니다.String Chunk 부분의 문제같으니 바이너리를 살펴봅시다.빨간 박스는 String Count이고, 주황 박스는 String Pool Offset입니다. String Count 후에 String Pool이 시작되는데, String Pool이 0x198 에서 시작하기 위해서는 String Count가 5D여야 합니다. 따라서 빨간 박스 부분은 5D000000으.. 부고장, 경찰청 피싱 악성 앱 분석 (0) - intro 요즘 유행하는(?) 모바일 부고장, 경찰청 사칭 악성 앱을 분석하겠습니다. 온라인 부고, 교통법위반 어쩌고 하는 사이트에 접근하시면 아마 앱을 설치하라고 유도할 겁니다. 까보니까 같은 앱에 사진 만 바꾼거던데(글 쓰는 시각 기준) 결론적으로는 Android Spyware였습니다. 다운로드한 short URL이 지금은 닫혀서 못찍었는데 아래와 같은 로고의 앱, 혹은 경찰청 앱입니다. 하나는 모바일 부고장인척 하고있고, 하나는 교통 법규가 바뀌었다며 이파인 앱을 사칭합니다. 둘 다 까보니 같은 피싱 앱이었습니다. 앱을 받아서 까보면 아마 거의 내용 확인이 어려울겁니다. decompile조차 잘 안되게 난독화를 많이 걸어놓았습니다. AndroidManifest.xml도 잘 안까지는 지경... 잘 열리지 않으니.. 이전 1 다음
