결혼 청첩장 빙자한 안드로이드 전용 스미싱(Smishing) 분석

(*)출처 : 위키시큐리티 분석팀

개요

중국발 smishing이 우리나라의 생활풍속을 악용하는 등 고도화되고 있다. 결혼 청첩 SMS를 빙자하여 안드로이드폰만을 공격 대상으로 중국 사이트에서 apk설치를 유도하는 SMS가 발견되었습니다.
전화번호는 변조가 가능하겠지만 이 번호만이라도 유의해야겠습니다.

[그림 1] Smishing 문자
[그림 1] Smishing 문자

악성앱인 GooglePlayPlus.apk를 디컴파일하여 AndroidManifest.xml 파일을 보면 아래와 같이 불필요한 권한을 요구하고 있습니다.

[그림 2] 불필요한 권한 요구
[그림 2] 불필요한 권한 요구

이를 통해 해당 악성앱이 단말기 재부팅, 단말기 상태확인, WiFi연결 상태 확인, 파일 시스템 접근 등의 권한을 요구하는 것을 확인할 수 있습니다.

또한, apktool로 디컴파일 후 dex2jar를 통해 해당 악성앱의 소스를 살펴보면, 아래의 아이피 주소로 단말기에서 수집한 정보를 전송하는 것을 알 수 있습니다.

[그림 3] 수집된 정보를 전송되는 IP주소
[그림 3] 수집된 정보를 전송되는 IP주소

정보를 전송하기 데이터 수집을 위해 우선으로 soft_data DB를 생성 후, 해당 DB에 아래와 같은 Table을 생성합니다.

[그림 4] 데이터 수집을 위한 DB 및 Table 생성
[그림 4] 데이터 수집을 위한 DB 및 Table 생성

아래 그림과 같이 수집되는 개인정보는 ID, Key, phone_number 등이 수집되는 것으로 확인 가능합니다.

[그림 5] 수집된 정보를 전송되는 IP주소
[그림 5] 수집된 정보를 전송되는 IP주소