악성코드가 발견된 지역 버스 앱들. 이들은 구글 플레이에 올라온지 길게는 5년이 넘은 것들이 있음.

 

 

 

1단계.

악성 앱을 설치하게 되면, 가짜 플러그인을 포함한 해킹된 웹 서버에서 추가 앱을 다운로드 및 설치합니다.

 

추가 앱 설치 시

- 트로이목마 설치

- 구글 계정 탈취 시도

해당 과정에서 멀웨어는 네이티브 라이브러리를 사용하여 자신의 존재를 숨김

- 단, 원격 탐지 결과 감염된 장치의 수는 극소수로 판단.

 

2. 감염 프로세스

 

앞서 열거한 모든 작업이 완료되면 C2 서버와 연결되어서 수신되는 명령 처리.

 

 

악성 앱에는 'libAudio3.0.so' 라는 네이티브 라이브러리가 포함됨.



 

 

 

설치된 가짜 플러그인. 

 

 


 

 

 

SD카드의 naver.property 파일에 액세스 포크를 시도하려는 프로세스.

성공 시 .카카오톡 활동을 시작 및 구글 피싱 페이지로 이동.


 

 

카카오톡 클래스가 감염된 장치에 등록된 유저의 이메일 주소를 자동으로 로그인 설정된 HTML 파일 오픈.


 

- 가짜 구글 페이지.

 


 

 

 

하드코딩된 C2 서버의 위치 정보.

 

 

특정 키워드로 파일을 검사하고, 일치하는 경우 서버에 업로드. 특정 키워드는 아래 사진.

 


 

 

 

 현재 이 가짜 플러그인들은 스토어에서 내려갔다고 합니다.

 

이 악성코드는 일반적인 피싱이 아니고, 대상이 매우 정확한 공격으로 작성되었다고 합니다. 

 

본문 중 일부 내용은 생략하였습니다. 

 

간단히 정리 해 보자면

 

- 범인은 가짜 플러그인 

- 구글 계정 정보 탈취

- 앱 설치 및 SD카드 파일 탐색

- 카카오톡 특정 키워드 조회 시 파일 업로드

 

 

출처 : 루리웹 (http://bbs.ruliweb.com/mobile/board/1004/read/2152941?)

 

그리고 그곳의 반응

 


어메이징; ; ;ㅋㅋㅋㅋ 저 키워드를 보고 이런생각을 하는 건 이미 정치색에 눈이 멀었다는거,,,ㅋㅋㅋ