3. Contents
* 스미싱에 대한 간단한 이해
- 스미싱에 대한 일반적 오해
* 2012-2014 스미싱 동향 & 분석 기법
- 차단된 스미싱 링크에서 악성코드 샘플 수집하기
- AndroidManifest.xml 파일 속 특징들 분석하기
- 스미싱 악성코드 Rapid 분석하기
- 악성코드 제작자가 남긴 발자취 추적하기
- 본인이 발견한 스미싱 악성 사이트 직접 대응하기
* Q&A
12. 차단된 스미싱 링크에서 샘플 수집하기
Mozilla/5.0 (Macintosh; Intel
Mac OS X 10.6; rv:2.0.1)
Gecko/20100101 Firefox/4.0.1
Mozilla/5.0 (compatible; MSIE
9.0; Windows NT 6.1;
Trident/5.0)
21. AndroidManifest.xml 파일 내 특징 분석하기
Permissions
문자메시지 수신 감지
현재 휴대폰 상태 감지
단말기 부팅 완료 감지
애플리케이션 설치, 삭제 감지
기기 관리자 권한 활성화
저장소 접근
문자메시지 수, 발신
주소록 읽기, 쓰기
부팅 시 자동 실행
휴대폰 상태 변경
전화 걸기
프로세스 종료
인터넷 연결
intent-filters
23. 스미싱 악성코드 Rapid 분석하기
Static Analysis
malware.apk
META-INF, res, lib, asset
apkprotect.com
resources.arsc
classes.dex
AndroidManifest.xml
http://kkoha.tistory.com/entry/AntiAPKProtect
Anti Apkprotect v0.1 by koha
24. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
모든 애플리케이션의 중심은 MainActivity 이다.
+ AndroidManifest.xml Activity Info
25. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
분석하기엔 코드가 너무 길고 방대하다
26. 스미싱 악성코드 Rapid 분석하기
Static Analysis Tip
jar 파일로 아무리 해도 변환이 안된다. 그러나 우리에겐 IDA Pro는 너무 비싸다
27. 스미싱 악성코드 실제로 분석하기
최초 발견일 : 2014년 3월 20일
감염자수 : 확인 불가
주요 행위 : 악성 파일 추가 설치, 문자메시지 감시, 주소록 전송
apkprotect.com
unknown protector
apkprotect.com
unknown protector
단순
APP INSTALLER Real Malware
28. 스미싱 악성코드 실제로 분석하기
Downloader
apkprotect.com
unknown protector
OK to Analysis
29. 스미싱 악성코드 실제로 분석하기
Code Recovery Tip
Static fields -
#0 : (in Lcom/android/slientinstall/InstallService;)
name : 'PACKAGE_NAME'
type : 'Ljava/lang/String;'
access : 0x001a (PRIVATE STATIC FINAL)
private static final String PACKAGE_NAME;
nametypeaccess
30. 스미싱 악성코드 실제로 분석하기
AndroidManifest.xml
Permissions
휴대폰 상태 읽기
인터넷 연결
문자메시지 감시
문자메시지 내역 읽고 쓰기
외부 저장소 쓰기
부팅 시 자동 실행
기기 관리자 권한
CPU 상태 유지
31. 스미싱 악성코드 실제로 분석하기
Permissions
휴대폰 상태 읽기
인터넷 연결
문자메시지 감시
문자메시지 내역 읽고 쓰기
외부 저장소 쓰기
부팅 시 자동 실행
기기 관리자 권한
Code Analysis
SlientInstall
SmsReceiver
SQLiteOpenHelper
BootReceiver
SSLSocketFactory
DeviceAdminReceiver
WakeLock
32. 스미싱 악성코드 Rapid 분석하기
Dynamic Analysis
Real Device Android Virtual Device
장점 – 가상기기 감
지로 인한 악성행위
종료의 위험 없음
단점 - 비싼 가격,
USB Debugging
모드로 연결해야 함
장점 – 무료, 네트워
크 Packet 덤프나
로그 추출이 용이함
단점 – 가상기기 감
지로 인한 악성행위
종료의 위험 있음