90015.apk악성앱분석

그림 1-1 90015.apk 설치

그림 1-2 google app store

그림 1-3 동작

그림 1-4 정보 노출

• Main Activity 찾기.

그림 1-5 MainActivity

• 등록된 브로드캐스트 리시버 찾기

그림 1-6 Receiver

• 등록된 서비스 찾기

그림 1-7 Service

• 사용권한을 살펴보고 악성 앱의 행위 유추하기

그림 1-8 Permission

VIBARATE = 안드로이드 단말기 진동 허용
READ_SMS = 저장된 SMS 읽을 수 있음
WRITE_SMS = SMS 내용을 쓸 수 있음
RECEIVE_SMS = 새로 수신되는 SMS을 확인할 수 있음
SEND_SMS = SMS 보낼 수 있는 권한
READ_CONTACTS = 연락처를 가져올 수 있음
WIRTE_CONTACTS = 연락처를 쓸 수 있음
WRITE_SETTINGS = 애플리케이션에서 시스템 읽기 쓰기 허용하는 권한
READ_PHONE_STATE = 휴대폰 상태 정보를 읽을 수 있음
CALL_PHONE = 전화를 할 수 있는 권한
READ_CALL_LOG = 통화 기록을 읽을 수 있음
WIRTE_CALL_LOG =  통화 기록을 쓸 수 있음
INTERNET = 인터넷을 통신 권한
WRITE_EXTERNAL_STORAGE = SD카드에 데이터를 쓸 수 있는 권한
ACCESS_NETWORK_STAT = 네트워크 상태에 접근할 수 있는 권한
RECEIVE_BOOT_COMPLETED = 안드로이드 재부팅이 되어도 다시 실행할 수 있는 권한
UPDATE_APP_OPS_STATS = 악성 앱 개발자가 만든 권한
GET_TASKS = 프로세스 정보를 얻을 수 있는 권한 (현재 안드로이드 사용하지 않는 권한)
KILL_BACKGROUND_PROCESSES = 백그라운드에서 동작하는 프로세스를 죽일 수 있는 권한
ACCESS_WIFI_STAT = WIFI 접근 권한
SYSTEM_ALERT_WINDOW = 기기 관리기 창을 가리기 위한 권한
WAKE_LOOCK = 잠겨 해제할 수 있는 권한

 

• 서비스를 실행하는 코드 찾기

그림 1-9 onCreate

• 기기 관리 자창을 호출하는 코드 찾기

그림 1-10 Intent

• 기기관리자를 가리는 창을 생성하는 코드 찾기

그림 1-11 MyWindowManager

그림 1-12 createBigWindow

그림 1-13 hideIc

• 어떤 정보를 서버로 보내는지 분석하기

그림 1-14 setlver/OnLine

• 서버로 정보를 전송하는 코드를 찾아 분석하기

그림 1-15 StUtil

• 이 악성 앱이 어떤 행위를 하는지 설명해 보기

사용자에게 앱이 은닉 및 삭제  되지 않도록 하고 기기관리자 권한 획득 시도를 하며 실행 아이콘을 감추는 악성 행위를 하고 기기 식별 번호 및 전화번호 npki 등 중요정보를 서버에게 전송한다.