대검찰청 사칭 apk 분석

페친님 제보로 대검찰청 사칭 apk를 분석하게 되었습니다.

주소는 http://fgc.*********.com/k/v3.apk

             http://acc.co*******.com/s/v3.apk

V3를 가장한 APK이죠 ^^

위의 URL을 클릭하여 페이지를 열어보니 다음과 같았습니다.

원본 페이지 비교

확연한 차이가 보이죠 ... 너무 허술하게 만든페이지라고 보여집니다.

파일의 구조는 다음과 같습니다.

이번에는 난독화를 하지 않았습니다.

이 APK설치로 인한 탈취되는 정보는 다음과 같았다.

android.permission.ACCESS_MOCK_LOCATION (mock location sources for testing)

android.permission.PROCESS_OUTGOING_CALLS (intercept outgoing calls)

android.permission.ACCESS_COARSE_LOCATION (coarse (network-based) location)

android.permission.INTERNET (full Internet access)

android.permission.ACCESS_FINE_LOCATION (fine (GPS) location)

android.permission.SEND_SMS (send SMS messages)

android.permission.READ_SETTINGS (Unknown permission from android reference)

android.permission.READ_INTERNAL_STORAGE (Unknown permission from android reference)

android.permission.RECORD_AUDIO (record audio)

android.permission.READ_EXTERNAL_STORAGE (read from external storage)

android.permission.RECEIVE_BOOT_COMPLETED (automatically start at boot)

com.android.launcher.permission.READ_SETTINGS (Unknown permission from android reference)

android.permission.CALL_PHONE (directly call phone numbers)

android.permission.WRITE_SETTINGS (modify global system settings)

android.permission.READ_PHONE_STATE (read phone state and identity)

android.permission.READ_SMS (read SMS or MMS)

android.permission.WRITE_EXTERNAL_STORAGE (modify/delete SD card contents)

com.android.launcher.permission.WRITE_SETTINGS (modify global system settings)

android.permission.WAKE_LOCK (prevent phone from sleeping)

android.permission.RECEIVE_SMS (receive SMS)

android.permission.READ_CONTACTS (read contact data)

android.permission.WRITE_INTERNAL_STORAGE (Unknown permission from android reference)

그리고 중요한건 C&C 정보는 한국(115.***.***.***)이라는 점이다.

백신 점검결과는 다음과 같다.

파일 이름:	v3.apk
탐지 비률:	23 / 51
분석 날짜:	2014-06-09 05:06:52 UTC ( 0분 전 )

전반적으로 탐지되는것을 볼수있었습니다.

더 안타까운 화면입니다.  피해자가 발생치 않도록 꼭 유의해주세요

마지막으로 절대 의심스러운 URL은 클릭하지 않고 삭제를 하여야 합니다.