최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다.
북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다.
[그림 1] 북한기도 앱 아이콘
[그림 2] 특정 광고 화면
특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.
[그림 3] 북한기도에 관련된 문구가 쓰인 화면
assets/aaa 파일을 설치한다.
[그림 4] aaa 파일 설치
assets/bbb 파일을 설치한다.
[그림 5] bbb 파일 설치
bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다.
[그림 6] 아이콘 숨기기
[그림 7] 실행 시 앱 종료
녹음된 파일을 저장한다.
- 저장경로: /sdcard/ToHCallRecord/
[그림 8] 녹음된 파일 저장 경로
aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.
[그림 9] 계정 정보 탈취
[그림 10] 기기 정보 탈취
[그림 11] 앱 리스트 탈취
서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아온다.
[그림 12] 커맨드 번호와 저장할 DEX경로 다운
C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다.
[그림 13] 다운 받은 DEX파일 실행
C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다.
[그림 14] custom.dex파일 다운 및 실행
cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. (현재의 카카오톡 버전은 탈취가 불가능하다)
[그림 15] 카카오톡 대화내용 탈취
custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.
[그림 16] 녹음
[그림 17] SMS탈취
[그림 18] 현재 위치 정보 탈취
[그림 19] 전화 기록 탈취
[그림 20] 주소록 탈취
'보안이슈' 카테고리의 다른 글
| 당신의 코인은 안전합니까? (2) | 2018.04.12 |
|---|---|
| MBR을 파괴하는 랜섬웨어 (0) | 2018.04.11 |
| 모네로(XMR) 가상화폐 채굴 악성코드 감염 주의 (0) | 2018.02.06 |
| 국내 메일 계정으로 대량 유포된 악성코드 감염 주의 (0) | 2018.02.06 |
| 발칸 반도를 타깃으로 하는 File Spider 랜섬웨어 감염 주의 (0) | 2018.02.06 |
