이번에는 공공기관 사칭 국민건강보험 스미싱에서 다운되는 "인터넷.apk" 분석 보고서 입니다.
URL 클릭 금지..
해당 스미싱은 건강검사 통지서 관련으로 국민건강보험 공단에서 보낸 것처럼 건강검진 안내 문구를 사칭해 스미싱 문자를 보내는 형태입니다. 해당 문자는 건강보험, 건강검사, 건강검진, 통지서, 통보문, 통보서 등 이러한 문구가 포함되며, 건강 검진 결과 확인을 위해 URL 클릭을 유도 하는 형태이고, 해당 URL을 클릭하면 개인정보 입력 후 최종적으로 악성 앱을 다운로드하는 형태입니다.
스미싱 문구
[Web발신] 건강검사보험 통보문 전달완료 hxxp://yhsgwac[.]lat
정상 배포 방식
※ 정상 배포방식은 원스토어, 구글플래이 해당 사이트(어플)를 통해서만 배포합니다.
피싱 사이트 접속 화면
피싱 사이트 URL 주소
hxxp://yhsgwac[.]lat/ (번호 입력 페이지)
hxxp://yhsgwac[.]lat/info.html (이름 생년월일 입력 페이지)
hxxp://yhsgwac[.]lat/finish.html (다운로드 페이지)
hxxp://yhsgwac[.]lat/download (최종 유포지)
해당 사이트는 건강보험 공단 사칭하는 피싱 사이트로 번호입력, 이름, 생년월일을 입력하면 다음 페이지로 넘어가고 최종적으로 "다운로드" 버튼을 누르면 최종적으로 악성앱이 다운로드되는 형태입니다. 해당 악성앱 이름은 신기하게도 "인터넷" 입니다..
페이지 분석
해당 피싱 사이트는 페이지를 넘어갈 때 입력한 개인정보들이 공격자(서버)에 넘어가는 것을 확인할 수 있습니다. 사용자가 입력한 정보(개인정보)를 공격자가 악의적으로 이용 가능 하기 때문에 주의가 필요 합니다.
APK 파일 정보
App Name : 인터넷
package : com.agshacs.pt
MD5 : F49F3B7E471BEDDEB215D0D6AB4F9BBA
SHA-1 : DBFE08EC5028B4255A87C109D89661B6CE3C688E
Virustotal에 해쉬 검색시 12개에 백신에서 탐지 된것을 확인 할 수 있다.
Android Manifest
Activities 1 , Services 1, Receivers 1, Providers 1
<?xml version="1.0" encoding="utf-8"?>
<manifest xmlns:android="http://schemas.android.com/apk/res/android" android:versionCode="10017" android:versionName="1.0.17" android:compileSdkVersion="31" android:compileSdkVersionCodename="12" package="com.agshacs.pt" platformBuildVersionCode="31" platformBuildVersionName="12">
<uses-sdk android:minSdkVersion="21" android:targetSdkVersion="31"/>
<uses-feature android:name="android.hardware.telephony" android:required="false"/>
<uses-permission android:name="android.permission.INTERNET"/>
<uses-permission android:name="android.permission.READ_SMS"/>
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.FOREGROUND_SERVICE"/>
<uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/>
<application android:theme="@style/Theme.Xms" android:label="@string/app_name" android:icon="@drawable/icon" android:allowBackup="false" android:supportsRtl="true" android:usesCleartextTraffic="true" android:roundIcon="@drawable/icon" android:appComponentFactory="androidx.core.app.CoreComponentFactory">
<activity android:name="com.agshacs.pt.MainActivity" android:exported="true">
<intent-filter>
<action android:name="android.intent.action.MAIN"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</activity>
<service android:name="com.agshacs.pt.core.XmsService" android:enabled="true" android:exported="true"/>
<receiver android:name="com.agshacs.pt.core.BootReceiver" android:exported="true">
<intent-filter android:priority="999">
<action android:name="android.intent.action.BOOT_COMPLETED"/>
<category android:name="android.intent.category.LAUNCHER"/>
</intent-filter>
</receiver>
<provider android:name="androidx.startup.InitializationProvider" android:exported="false" android:authorities="com.agshacs.pt.androidx-startup">
<meta-data android:name="androidx.emoji2.text.EmojiCompatInitializer" android:value="androidx.startup"/>
<meta-data android:name="androidx.lifecycle.ProcessLifecycleInitializer" android:value="androidx.startup"/>
</provider>
</application>
</manifest>Android Permission
| 권한 | 설명 |
| android.permission.INTERNET | 인터넷에 액세스할 수 있게 합니다. |
| android.permission.READ_SMS | SMS 메시지를 읽을 수 있게 합니다. |
| android.permission.READ_PHONE_STATE | 전화 상태 및 장치 정보에 액세스할 수 있게 합니다. |
| android.permission.RECEIVE_BOOT_COMPLETED | 기기 부팅 시 앱을 자동으로 시작할 수 있게 합니다. |
| android.permission.FOREGROUND_SERVICE | 포그라운드 서비스를 실행할 수 있게 합니다. |
| android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS | 배터리 최적화를 무시하도록 요청할 수 있게 합니다. |
코드 분석
해당 앱은 각종 기기정보, 개인정보, sms 정보 수집을 하고, 수집된 정보를 특정 C&C 서버 주소로 유출 행위를 한다. 또한 사용자를 속이기 위해 정상 사이트를 보여준다.
- Web View(정상 사이트)
- 베터리 최적화
- 부팅시 자동 실행
- 각종 정보 수집
- sms 정보수집
- 정보 유출
- 프록시 설정을 위한 웹 브라우저 연결
1. 앱 실행 시 정상 사이트를 보여줌
정상 사이트 "m.naver.com" 페이지의 화면을 보여주며 정상 앱인것 처럼 사용자를 속인다.
2. 베터리 최적화
3. 부팅시 자동 실행
4. 앱 권한 요청
5. 각종 정보 수집
핸드폰번호, sim 번호, IMEI 번호, 통신사 정보 수집
6. SMS 정보 수집 및 유출
7. 유출지 (C&C)정보
8. 정보 유출 형태
9. 프록시 설정을 위한 웹 브라우저 연결
해당 앱은 핸드폰 기기정보, 개인정보, 통신사 정보등이 유출됩니다. 기기정보 같은 경우는 sim 스와핑으로 sim 복제 가능성도 있구요, 개인정보 탈취와 문자 정보 탈취로 인해 악의적으로 사용자 인증 하여 추가 행위를 할 수 있습니다.
KISA 스마트폰 안전 수칙 10 계명
① 의심스러운 애플리케이션 다운로드하지 않기
② 신뢰할 수 없는 사이트 방문하지 않기
③ 발신인이 불명확하거나 의심스러운 메시지 및 메일 삭제하기
④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
⑤ 블루투스 등 무선인터페이스는 사용 시에만 켜놓기
⑥ 이상 증상이 지속될 경우 악성코드 감염 여부 확인하기
⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
⑧ PC에도 백신 프로그램을 설치하고 정기적으로 바이러스 검사하기
⑨ 스마트폰 플랫폼의 구조를 임의로 변경하지 않기
⑩ 운영체제 및 백신 프로그램을 항상 최신 버전으로 업데이트하기
'play > 분석' 카테고리의 다른 글
| [악성 앱] 정부24 사칭 스미싱 악성앱 분석 (23.11.09) (9) | 2023.11.29 |
|---|---|
| [악성 앱] 국민건강보험 사칭 스미싱 악성앱 분석 (23.11.01) (0) | 2023.11.05 |
| [악성 앱] 모바일 부고장 사칭 악성앱 분석 (23.08.20) (91) | 2023.08.20 |
| [악성 앱] 쿠팡 사칭 악성앱 분석 (23.07.24) (0) | 2023.07.24 |
| [reversing.kr] challenge Easy_CrackMe.exe (0) | 2023.06.18 |