* 사업 등 관련 문의: T) 02-322-4688, F) 02-322-4646, E) info@wikisecurity.net
결혼 청첩장 빙자한 안드로이드 전용 스미싱(Smishing) 분석
(*)출처 : 위키시큐리티 분석팀
개요
중국발 smishing이 우리나라의 생활풍속을 악용하는 등 고도화되고 있다. 결혼 청첩 SMS를 빙자하여 안드로이드폰만을 공격 대상으로 중국 사이트에서 apk설치를 유도하는 SMS가 발견되었습니다.
전화번호는 변조가 가능하겠지만 이 번호만이라도 유의해야겠습니다.
![[그림 1] Smishing 문자](https://wiki.wikisecurity.net/_detail/issue:smishing_1.png?id=issue%3A%EA%B2%B0%ED%98%BC_%EC%B2%AD%EC%B2%A9%EC%9E%A5_%EB%B9%99%EC%9E%90%ED%95%9C_%EC%95%88%EB%93%9C%EB%A1%9C%EC%9D%B4%EB%93%9C_%EC%A0%84%EC%9A%A9_%EC%8A%A4%EB%AF%B8%EC%8B%B1_smishing_%EB%B6%84%EC%84%9D "[그림 1] Smishing 문자") |
| [그림 1] Smishing 문자 |
악성앱인 GooglePlayPlus.apk를 디컴파일하여 AndroidManifest.xml 파일을 보면 아래와 같이 불필요한 권한을 요구하고 있습니다.
![[그림 2] 불필요한 권한 요구](https://wiki.wikisecurity.net/_detail/issue:smishing_2.png?id=issue%3A%EA%B2%B0%ED%98%BC_%EC%B2%AD%EC%B2%A9%EC%9E%A5_%EB%B9%99%EC%9E%90%ED%95%9C_%EC%95%88%EB%93%9C%EB%A1%9C%EC%9D%B4%EB%93%9C_%EC%A0%84%EC%9A%A9_%EC%8A%A4%EB%AF%B8%EC%8B%B1_smishing_%EB%B6%84%EC%84%9D "[그림 2] 불필요한 권한 요구") |
| [그림 2] 불필요한 권한 요구 |
이를 통해 해당 악성앱이 단말기 재부팅, 단말기 상태확인, WiFi연결 상태 확인, 파일 시스템 접근 등의 권한을 요구하는 것을 확인할 수 있습니다.
또한, apktool로 디컴파일 후 dex2jar를 통해 해당 악성앱의 소스를 살펴보면, 아래의 아이피 주소로 단말기에서 수집한 정보를 전송하는 것을 알 수 있습니다.
![[그림 3] 수집된 정보를 전송되는 IP주소](https://wiki.wikisecurity.net/_detail/issue:smishing_3.png?id=issue%3A%EA%B2%B0%ED%98%BC_%EC%B2%AD%EC%B2%A9%EC%9E%A5_%EB%B9%99%EC%9E%90%ED%95%9C_%EC%95%88%EB%93%9C%EB%A1%9C%EC%9D%B4%EB%93%9C_%EC%A0%84%EC%9A%A9_%EC%8A%A4%EB%AF%B8%EC%8B%B1_smishing_%EB%B6%84%EC%84%9D "[그림 3] 수집된 정보를 전송되는 IP주소") |
| [그림 3] 수집된 정보를 전송되는 IP주소 |
정보를 전송하기 데이터 수집을 위해 우선으로 soft_data DB를 생성 후, 해당 DB에 아래와 같은 Table을 생성합니다.
![[그림 4] 데이터 수집을 위한 DB 및 Table 생성](https://wiki.wikisecurity.net/_detail/issue:smishing_4.png?id=issue%3A%EA%B2%B0%ED%98%BC_%EC%B2%AD%EC%B2%A9%EC%9E%A5_%EB%B9%99%EC%9E%90%ED%95%9C_%EC%95%88%EB%93%9C%EB%A1%9C%EC%9D%B4%EB%93%9C_%EC%A0%84%EC%9A%A9_%EC%8A%A4%EB%AF%B8%EC%8B%B1_smishing_%EB%B6%84%EC%84%9D "[그림 4] 데이터 수집을 위한 DB 및 Table 생성") |
| [그림 4] 데이터 수집을 위한 DB 및 Table 생성 |
아래 그림과 같이 수집되는 개인정보는 ID, Key, phone_number 등이 수집되는 것으로 확인 가능합니다.
![[그림 5] 수집된 정보를 전송되는 IP주소](https://wiki.wikisecurity.net/_detail/issue:smishing_5.png?id=issue%3A%EA%B2%B0%ED%98%BC_%EC%B2%AD%EC%B2%A9%EC%9E%A5_%EB%B9%99%EC%9E%90%ED%95%9C_%EC%95%88%EB%93%9C%EB%A1%9C%EC%9D%B4%EB%93%9C_%EC%A0%84%EC%9A%A9_%EC%8A%A4%EB%AF%B8%EC%8B%B1_smishing_%EB%B6%84%EC%84%9D "[그림 5] 수집된 정보를 전송되는 IP주소") |
| [그림 5] 수집된 정보를 전송되는 IP주소 |