안드로이드 모바일용 가짜 한국은행 어플을 조심하세요

2014. 2. 18. 14:07Avast기술정보/모바일백신

안드로이드용 가짜 한국의 은행 어플

 

약 일년 전, 한국의 은행 고객에 대한 파밍 공격에 대한 분석을 발표하였습니다. 사이버 범죄의 타겟은 NH 은행, 국민 은행, 하나 은행, 신한 은행, 우리 은행을 포함하고 있습니다. 안드로이드 디바이스의 사용량의 증가에 따라, 이 공격은 Windows 플랫폼 뿐만 아니라 안드로이트 플랫폼에서도 현재 발생합니다. 이 블로그 게시물에서 가짜 은행 어플에 대해 확인 하고 몇 가지 악성코드들을 분석하였습니다.


기존 은행 어플
간결함을 위해 하나 은행 어플을 예시로 표시합니다. 다른 은행의 시나리오도 비슷합니다. 실제 하나 은행 어플은 Google Play 에서 다운로드 할 수 있습니다. 다음과 같은 레이아웃과 백그라운드를 가지고 있습니다. 

 

어플의 레이아웃과 백그라운드 확인 할 수 있습니다. 

가짜 은행 어플
이제 가짜 은행 어플을 확인해 보겠습니다. 초기 화면 위에 표시된 원래 은행 어플의 화면과 매우 비슷합니다. 사용자가 경계 테이블에 있는 이미지를 클릭 할 때마다, 사용자의 인증서 암호를 요청하는 화면으로 리드렉션됩니다. 아래 그림은 인증서 암호를 요청하는 가짜 어플의 초기 화면을 보여줍니다.

 

 

잘못된 암호를 입력하면 오류 메시지가 표시됩니다. 어플의 암호 길이가 크거나 5 글자가 같은지 여부를 확인 합니다. 그러면 어플의 계정 번호와 4자리 PIN 번호를 요청합니다.

 

 

PIN번호를 입력하는 경우, 어플은 사용자가 자신의 자격 증명을 다른 키보드로 표시합니다. 마지막으로 나타나는 창은 자신의 보안 카드의 번호를 입력을 묻는 창입니다.

 

 

완료되면, 수집된 모든 정보는 JSON객체에 넣고 C&C 서버로 전송됩니다. 모든 데이터를 포함하는 덤프 JSON 객체는 다음과 같습니다:

 

권한을 부여 할 수 있도록 모든 수집 된 정보가 포함되어 있습니다.

 

안드로이드 분석: Tramp

 

첫 번째로 GoogleService 어플을 살펴 보겠습니다. SMS 메시지, 발신 전화, 기록된 오디오, 수집한 사용자 위치 등을 처리하기 위한 의심스러운 권한 포함하여 나타냅니다.

 

어플의 중용한 부분은 BroadcastReceiver 확장 클래스 SMSBroadcastReceiver 입니다. 수신 된 의도에 따라서 GoogleService 클래스로 부터 대응하는 함수를 호출합니다:(아래 서술)

 

1)수신되는 SMS 메시지를 처리 android.provider.Telephony.SMS_RECEIVED

 

2)구글 클라우드 메시지를 처리

 

3) 수신되는 통화를 처리 TelephonyManager.ACTION_PHONE_STATE_CHANGED

 

주요 기능은 GoogleService스 클래스에서 구현됩니다. 수신 의도에 따라 GoogleService 는다음과 같은 기능을 제공합니다:

 

1) 주어진 URL 에 POST 요청을 보냅니다.

 

2) 클라우드 메시지를 등록합니다.

 

3) SMS메시지를 보냅니다.

 

4) 일괄적으로 SMS 메시지를 보냅니다.

 

5) 클라우드 메시지를 보냅니다.

 

6) 전화의 위치를 가져옵니다.

 

7) 블록 호출 합니다.

 

8) 연락처를 가져옵니다.

 

9) 휴대전화 메모리에 저장된 SMS 메시지를 읽습니다.

 

10) 발신 통화를 기록합니다.

 

11) 파일을 업로드 합니다(이전에 녹음된 전화 통화)

 

그러나, 가짜 은행 업무와 관련된 가장 중요한 클래스는 Mainservices 라고 합니다. 실행 하면 미리 정의 된 패키지 중 하나가(com.kbstar.kbbank, com.ibk.spbs, com.shinhan.sbanking, nh.smart, com.webcash.wooribank) 을 확인 합니다. 발견하는 경우, 이러한 패키지(android.intent.action.DELETE)를 제거하고 악의적으로 교체 하려고 합니다.

 

다른 악성코드에 악성 GoogleService의 유사성을 찾을 때, 우리는 GoogleService 응용 프로그램을 Android:Tramp(나의 전화 추적)로 감지하는 것을 발견하였습니다. 위에서 업급된 분석은 F-Secure의 보고서에 기록되어 있습니다.

 

다음 부분에서, 우리는 언급된 가짜 은행 어플을 이용하여 다른 악성코드에 의해 유사성을 확인 하고, 악의적인 기록 보관소에서 발견 된 행동을 기반으로 해커의 출처를 확인하고 이를 위해 노력할 것입니다.

 

소스 및 avast의 탐지
Android:Tramp

05E16A68A7393C90334CF98C4C390DB67F2316126014DF1508CC8170025CE150
13226FA12F991ABAE16AC3308B7AAE6E55B6C4520A9E15E7BCECB9D4EF3015AD


 

모바일 백신은 꼭 설치하여야 할 기본 필수 어플입니다.

어베스트는 무료 모바일 백신과 프리미엄 모바일 백신을 제공하고 있습니다. 개인의 경우 무료 버전도 충분하지만 보다 나은 방역을 위해 모바일 프리미엄을 추천하고 있습니다. 기업 및 상업적 용도로는 어베스트 모바일 프리미엄을 사용하실 것을 권해드립니다.


바로가기 : http://www.avastkorea.com/home-user/android.asp