악성앱 다운 유도 쿠팡 피싱 사이트는 기존 택배 스미싱 문구와 비슷하게 "도착예정 주소 재확인바람." 이라는 문구가 기존 택배 스미싱과 비슷한 느낌을 준다. 기존 택배 문구같이 주소가 불일치하니 확인해달라 이런 식으로 오기 때문에 비슷하게 문자가 구성되어있다. 악성 행위는 건강검진 사칭앱 과 비슷하다
문구)
[Web발신] [쿠팡]로켓배송 오늘 12~15시 도착예정. 주소재확인바람. https://x03[.]dw4t[.]guru
악성앱 다운로드 과정
해당 사이트 접속 시 전화번호를 요구하고 입력된 전화번호를 서버로 전송하여 전화번호 확인을 한다 전화번호가 확인이 되면 다운로드 페이지로 넘어가고 버튼 클릭 시 쿠팡 사칭 악성 앱을 다운로드한다.
유포지 : hxxps://x03[.]dw4t[.]guru/
최종 유포지 : hxxps://x03[.]dw4t[.]guru/download/the.apk
APK 파일 정보
App Name : 쿠팡
package : com.zzpwnf.yuaupf
MD5 : ECED358F71727FD67FF42DDC8DC438FA
SHA-1 : 3126A6827F94B56567CAE5720CFC6A1984D693DA
Android Manifest
Activities 1 , Services 1, Receivers 1, Providers 0
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="1" android:versionName="1.0" android:compileSdkVersion="33" android:compileSdkVersionCodename="13" package="com.zzpwnf.yuaupf" platformBuildVersionCode="33" platformBuildVersionName="13">
<uses-sdk android:minSdkVersion="24" android:targetSdkVersion="33"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.ACCESS_NETWORK_STATE"/>
<uses-permission android:name="android.permission.READ_PRIVILEGED_PHONE_STATE"/>
<uses-feature android:name="android.hardware.telephony" android:required="false"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_SMS"/>
<uses-permission android:name="android.permission.RECEIVE_MMS"/>
<uses-permission android:name="android.permission.SEND_SMS"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE" android:maxSdkVersion="29"/>
<uses-permission android:name="android.permission.READ_PHONE_NUMBERS"/>
<uses-permission android:name="android.permission.VIBRATE"/>
<application android:theme="@android:style/Theme.NoTitleBar.Fullscreen" android:label="@string/app_name" android:icon="@mipmap/ic_launcher" android:debuggable="true" android:allowBackup="true" android:supportsRtl="true" android:extractNativeLibs="false" android:fullBackupContent="@xml/backup_rules" android:usesCleartextTraffic="true" android:networkSecurityConfig="@xml/network_security_config" android:appComponentFactory="androidx.core.app.CoreComponentFactory" android:dataExtractionRules="@xml/data_extraction_rules">
<activity android:name="com.zzpwnf.yuaupf.MainActivity" android:exported="true">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</activity>
<service android:name="com.zzpwnf.yuaupf.LoopService" android:enabled="true" android:exported="true"/>
<receiver android:name="com.zzpwnf.yuaupf.Mopiotal" android:exported="true">
<intent-filter android:priority="2147483647">
<action android:name="android.provider.Telephony.SMS_RECEIVED"/>
</intent-filter>
</receiver>
</application>
</manifest>
Android Permission
| 권한 | 설명 |
| android.permission.INTERNET | 인터넷에 연결하여 네트워크 통신을 수행할 수 있도록 합니다. |
| android.permission.ACCESS_NETWORK_STATE | 네트워크 상태에 대한 정보를 액세스하고, 연결 가능 여부 등을 확인할 수 있도록 합니다. |
| android.permission.READ_PRIVILEGED_PHONE_STATE | 특권화된 권한으로, 기기의 통화 상태와 관련된 정보를 읽을 수 있습니다. |
| android.permission.READ_SMS | SMS 메시지를 읽을 수 있도록 합니다. |
| android.permission.RECEIVE_SMS | SMS 메시지를 수신할 수 있도록 합니다. |
| android.permission.RECEIVE_MMS | MMS(Multimedia Messaging Service) 메시지를 수신할 수 있도록 합니다. |
| android.permission.SEND_SMS | SMS 메시지를 발신할 수 있도록 합니다. |
| android.permission.READ_PHONE_STATE | 기기의 전화 상태와 관련된 정보를 읽을 수 있습니다. |
| android.permission.READ_PHONE_NUMBERS | 기기에 저장된 전화 번호를 읽을 수 있도록 합니다. |
| android.permission.VIBRATE | 기기 진동 변경 할 수 있도록 합니다. |
코드 분석
쿠팡 사칭 앱은 각종 기기정보, 개인정보, sms 정보 수집을 하고, 수집된 정보를 특정 C&C 서버 주소로 유출 행위를 한다. 또한 사용자를 속이기 위해 정상 사이트를 보여준다
- UUID 생성 및 저장
- Web View(정상 사이트)
- 각종 정보 수집
- sms 정보수집
- 정보 유출
1. 앱 실행 시 UUID 생성 및 저장
서버에서 식별자 역할을 할 것으로 추정되며
2. 앱 실행 시 정상(쿠팡) 사이트
3. 앱 권한 요청
3. 각종 정보 수집
핸드폰번호, sim 번호, IMEI 번호, 통신사 정보 수집
4. SMS 수신 시 볼륨 설정 및 진동 제어
5. SMS 정보 수집
6. 유출지 정보
7. 유출 시 사용되는 API
8. 정보 유출
KISA 스마트폰 안전 수칙 10 계명
① 의심스러운 애플리케이션 다운로드하지 않기
② 신뢰할 수 없는 사이트 방문하지 않기
③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
⑤ 블루투스 등 무선인터페이스는 사용 시에만 켜놓기
⑥ 이상 증상이 지속될 경우 악성코드 감염 여부 확인하기
⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
⑧ PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기
⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
⑩ 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기
'play > 분석' 카테고리의 다른 글
| [악성 앱] 국민건강보험 사칭 스미싱 악성앱 분석 (23.09.04) (2) | 2023.09.04 |
|---|---|
| [악성 앱] 모바일 부고장 사칭 악성앱 분석 (23.08.20) (91) | 2023.08.20 |
| [reversing.kr] challenge Easy_CrackMe.exe (0) | 2023.06.18 |
| [악성 앱] Chrome 사칭 악성앱 분석 (23.05.06) (2) | 2023.05.06 |
| [악성 앱] 경찰청 안티 스파이 사칭 앱 분석 (23.02.24) (2) | 2023.02.24 |