결혼 청첩장 빙자한 안드로이드 전용 스미싱(Smishing) 분석
(*)출처 : 위키시큐리티 분석팀
개요
중국발 smishing이 우리나라의 생활풍속을 악용하는 등 고도화되고 있다. 결혼 청첩 SMS를 빙자하여 안드로이드폰만을 공격 대상으로 중국 사이트에서 apk설치를 유도하는 SMS가 발견되었습니다.
전화번호는 변조가 가능하겠지만 이 번호만이라도 유의해야겠습니다.
악성앱인 GooglePlayPlus.apk를 디컴파일하여 AndroidManifest.xml 파일을 보면 아래와 같이 불필요한 권한을 요구하고 있습니다.
이를 통해 해당 악성앱이 단말기 재부팅, 단말기 상태확인, WiFi연결 상태 확인, 파일 시스템 접근 등의 권한을 요구하는 것을 확인할 수 있습니다.
또한, apktool로 디컴파일 후 dex2jar를 통해 해당 악성앱의 소스를 살펴보면, 아래의 아이피 주소로 단말기에서 수집한 정보를 전송하는 것을 알 수 있습니다.
정보를 전송하기 데이터 수집을 위해 우선으로 soft_data DB를 생성 후, 해당 DB에 아래와 같은 Table을 생성합니다.
아래 그림과 같이 수집되는 개인정보는 ID, Key, phone_number 등이 수집되는 것으로 확인 가능합니다.