Smart Touch 사칭 안드로이드 악성코드 분석 및 제거 도구

-Smart Touch 사칭 안드로이드 악성코드 분석 및 제거 도구-

작성자 : 김남준(bunseokbot, 정보보호학과 15)

최근 Smart Touch를 사칭한 안드로이드 악성코드를 분석하였습니다.

파일명 - 13306WYXP.apk

MD5 - cbe7c630d78dd2f452f49680a4d5df2b

일단 파일의 전체적인 구조를 보면 아래와 같습니다

이렇게 메일 관련 자바 외부 라이브러리와, APKProtect를 적용한 난독화, Secondary DEX를 위한 a.dex 파일 등이 발견됨을 알 수 있었습니다. 또한 스미싱 악성코드에서 자주 발견되는 공유 라이브러리 파일인 libgame.so 파일도 발견된 것을 확인하였습니다.

이런 정보를 기반으로 악성코드의 기능을 추측해 보자면

- 기기 관리자를 통해 삭제 방해

- Secondary DEX 파일 로딩을 진행함, 단순 classes.dex는 그냥 loader로 작용함

- APKProtect를 통해 분석 방해

- 해당 감염자의 개인정보를 이메일로 전송

...

이렇게 나눌 수 있습니다.

일단 classes.dex 파일의 dalvik bytecode 파일의 구조를 분석한 결과

com/cocos2d/oui../ 디렉토리에 메인-엔트리포인트가 존재하는 것을 확인하였습니다.

그 중 주요 코드에 대해서 분석해 보면

실행하고 나서 "a.dex" 파일을 추가 로딩하는 부분을 확인할 수 있었고

일반적인 악성코드의 특징에서 나타나는 "부팅 완료시 자동 실행" 의 기능도 포함하고 있는 것으로 확인하였습니다.

classes.dex은 단순히 a.dex 파일을 로딩하기 위한 loader로써 작용하기 때문에 해당 파일의 추가 분석이 필요하여 진행해보니

app/plg_v67 하위에 있는 Plugin.smali 코드가 진짜 악성 행위를 하는 코드임을 확인하였습니다.

일단 로딩이 완료되면 가상 기기인지 확인하는 "휴대폰 번호가 15555로 시작하는지에 대한 검사도 진행합니다."

그 외에도 Network Operator에 대한 이름도 검사해 가상 기기의 특징이 나타나는 기기에 설치되었다면 앱을 종료합니다.

그 다음 대한민국에 있는 뱅킹 앱이 해당 단말기에 설치되었는지 확인을 진행합니다.

그 후 설치된 것이 있다면 바꿔치기를 진행하고, 악성 앱으로 바꿔치기 합니다.

정리해 보면

- 은행 앱 가로채기를 통한 개인정보 유출

인 앱인 것을 확인할 수 있었습니다.

이러한 악성 앱을 제거할 수 있는 도구를 제작하였습니다.

다운로드 링크 : http://smishing.kr/smart-touch-remover.zip

작동 방식은 exe 실행 방식인데 ADB를 이용해서 하기 때문에 먼저 USB 디버깅 활성화를 해주셔야 합니다.

인터넷에서 기종마다 활성화 방식이 다르기 때문에 해당 링크를 참고하시기 바랍니다.

http://mrhook.co.kr/207

"이외의 기종인 경우에는 해당 기종에 대해서 구글링을 해보시기 바랍니다."

활성화 한 다음에 해당 프로그램을 실행하시면 최근 발견된 악성코드의 경우에는 패턴(?)을 탐지합니다.

일단 탐지하지 못하는 경우에는.. 따로 이메일이나 댓글로 문의해 주시기 바랍니다. 

기기 관리자 같은 경우에는 자동으로 해제를 못하기 때문에.. 사람 손을 타야 합니다

물론 자동으로 기기 관리자로 이동 해주고, 화면에 나오는 대로 비활성화 하라고 시키는 대로 하면, 알아서 비활성화 되고

엔터 누르면 바로 삭제 됩니다

아래는 사용법입니다.

일단 휴대폰을 USB로 연결하고, 디버그 모드 설정 한 다음 remover 를 실행합니다

알아서 제거 시도하고. 기기 관리자 해제를 진행해 달라고 합니다.

아마 화면에 V표시 되어 있을겁니다. 해당 부분을 눌러서 해제 버튼을 눌러주시고, 확인을 눌러주시면 비활성화 완료!

진행이 완료되었다면 엔터를 눌러주세요, 알아서 삭제합니다.

추가

- 일부 사용자 분이 호환성 문제를 언급해 주셨습니다.

호환성 문제 해결을 위해서 혹시 remover.exe 파일 실행이 되지 않는 경우에는 python-2.7.10.exe 파일을 실행하여 설치하신 후에

remover.py를 실행하시면 됩니다.