보안 위협 분석
안드로이드 뱅킹 악성코드(kb.apk) 분석보고서
악성코드 분석 2021-10-12
중국, 홍콩을 중심으로 국내 금융기관 사칭 피싱사이트가 운영되고 있는 것이 확인되었다. 최근 5차 재난지원금, 상생지원금 정책과 더불어 생계가 어려운 서민들을 대상으로 대출 관련 피싱사이트가 더욱더 기승을 부리고 있는 것이다.
이번에 알아볼 악성코드는 국내 제1금융기관을 사칭하여 유포되고 있는 안드로이드 뱅킹 악성코드이다.
국내 금융기관 사칭 웹 페이지를 방문하면 아래와 같은 화면을 볼 수 있다.
<그림> 국내 금융기관 사칭 피싱사이트
실제 금융기관 모바일 웹 같이 그럴싸하게 꾸며놓았다. 메뉴를 클릭하면, 앱 다운로드를 유도한다.
<그림> 앱 다운로드 유인 메시지
어떤 메뉴를 클릭하든 결국은 앱을 다운로드 받게 팝업 메시지를 보여준다.
<그림> app 설치시 아이콘
앱을 다운로드 받아 설치하면 실제 국민은행과 동일한 아이콘이 생성된다.
실행하게 되면 팝업 메시지가 뜨게 되는데 기본 전화 앱 허용을 해야만 화면을 볼 수 있도록 설계되었다. Call 권한을 획득하기 위한 작업이다.
또한, 앱 시작시 안드로이드 SDK 버전이 23보다 크거나 같으면 배터리 최적화 무시 메서드를 실행하며, 그 결과 아래와 같은 팝업 메시지를 출력한다.
“아니오”를 클릭하면 재시작시 팝업이 지속적으로 뜨게 된다. 백그라운드 실행으로 항상 실행된 상태로 유지하도록 유도한다.
최종 실행하게 되면 크게 5개의 메뉴로 구성된 것을 확인할 수 있다.
앱 실행하게 되면 위와 같은 기능을 수행한다. 스팸차단 앱이 설치되어 있는지 확인하고, 전화통화내역을 모니터링 하며, 스마트폰 화면이 켜져 있는지 모니터링한다.
국내 통신사 3사의 스팸차단 앱이 설치되어 있는지 확인한다. KT 스팸차단 앱이 실행되어 있을 경우 종료를 시도하고, 특정 플래그 값을 true로 설정한다. 종료가 안 되더라도 화면을 오버랩하여 화면을 위조할 것으로 판단된다.
앱은 사용자의 위치 정보를 업데이트하는데 GPS가 켜져 있는 경우, 기지국 또는 WIFI 가 켜져 있는 경우, 타 어플리케이션을 이용한 위치정보를 파악하여 어느 하나라도 켜져 있을 경우 위치 정보를 업데이트한다.
<그림> 발신 번호에 따른 ARS MP3 실행 분기
<그림> 국내 66개 금융기관 ARS MP3 파일
앱이 설치된 후 국내 66개의 주요기관, 금융기관 등에 전화할 경우 앱에 내장된 ARS MP3 파일을 들려주어 실제 전화가 연결된 것처럼 위조한다.
<그림> 번호 표시 위조, ARS 및 화면 안내
전화를 하게 되면, 해당 전화번호로 연결되는 것이 아니고 피싱조직에게 연결이 되며, 모바일 기기는 ARS 안내 음성 및 정상 연결임을 나타내는 바탕 화면을 보여주게 된다.
<그림> LG계열 모바일 기기 바탕 화면
<그림> 삼성계열 모바일 기기 바탕 화면
바탕 화면은 모바일 기기 SDK 버전과 기종(모델)에 따라 달리 보여진다.
<그림> 음성 녹음
음성 녹음 기능도 탑재하고 있다.
<그림> AES 복호화 함수
앱은 C2서버와 통신을 하게 되는데 암호화 되어 있다. C2는 BASE64 포맷으로 되어 있으며, AES 알고리즘으로 key size는 256 bits 이고, CBC 모드로 secret key 값은 214125442A~~~~~~58 로 된 32자리, IV 값은 7032~~~~~~2F 로 된 16자리를 사용한다. 복호화 결과 C2서버는 다음과 같다.
hxxp://43.225.158.156:3010/api
C2 서버와는 api 를 통해 통신을 수행한다.
<그림> 통신별 api 주소
C2와 통신시 수집정보별로 URL주소를 다르게 하여 통신을 수행한다. 아래는 복호화된 주소값이다.
[표] 수집정보별 주소표
|
정보 |
주소 |
|
REGIST_URL |
http://43.225.158.156:3010/api/method1/ |
|
HEARTBEAT_URL |
http://43.225.158.156:3010/api/method2/ |
|
CONFIG_URL |
http://43.225.158.156:3010/api/method3/ |
|
SMS_URL |
http://43.225.158.156:3010/api/method4/ |
|
CALLLOG_URL |
http://43.225.158.156:3010/api/method5/ |
|
CALLLOGUPLOAD_URL |
http://43.225.158.156:3010/api/method51/ |
|
CONTACT_URL |
http://43.225.158.156:3010/api/method6/ |
|
APPS_URL |
http://43.225.158.156:3010/api/method7/ |
|
LOGS_URL |
http://43.225.158.156:3010/api/method8/ |
|
LOCATION_URL |
http://43.225.158.156:3010/api/method9/ |
|
POWER_URL |
http://43.225.158.156:3010/api/method10/ |
|
CAMERA_URL |
http://43.225.158.156:3010/api/method12/ |
|
FILE_URL |
http://43.225.158.156:3010/api/method13/ |
|
BANK_URL |
http://43.225.158.156:3010/api/method14/ |
C2 서버는 현재 접속이 되지 않고 있지만, 각 정보 수집시 아래와 같은 정보를 수집하는 것으로 확인된다.
수집 정보 관련하여 더 자세한 내용은 첨부파일을 참고하자.
해당 앱은 국내 금융 대출 관련 앱으로 위장하고 있으나 실제 내부에 탑재된 기능을 살펴보면 대부분의 기능을 제어할 수 있는 RAT 라고 보면 이해가 쉬울 것 같다. 앱 내부에 탑재하고 있는 패키지 경로명, 내부 클래스들이 과거 몸캠 피싱 조직이 사용했던 것과 같은 것을 보면, 모바일 기기 제어를 통해 보이스 피싱, 몸캠 피싱 등에 활용하고 있는 것을 알 수 있다.
문자, 메신저 등 모르는 전화번호로 대출 권유를 미끼로 접근하여 앱 다운로드를 유도하는 등 비공식적인 앱 다운로드 및 설치를 자제하고, 금융기관에서 먼저 연락이 올 경우 보이스 피싱을 의심하자.
