본문 바로가기

보안이슈

북한기도(NKPrayer) 악성앱 주의

최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다.

 

북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다. 

 

 

[그림 1] 북한기도 앱 아이콘

 

[그림 2] 특정 광고 화면

 

특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.

 

[그림 3] 북한기도에 관련된 문구가 쓰인 화면

 

assets/aaa 파일을 설치한다.

 

[그림 4] aaa 파일 설치

assets/bbb 파일을 설치한다.

 

[그림 5] bbb 파일 설치

 

bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다.

 

[그림 6] 아이콘 숨기기 

 

[그림 7] 실행 시 앱 종료

 

녹음된 파일을 저장한다.

- 저장경로: /sdcard/ToHCallRecord/

[그림 8] 녹음된 파일 저장 경로

 

aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.

 

[그림 9] 계정 정보 탈취

 

[그림 10] 기기 정보 탈취

 

[그림 11] 앱 리스트 탈취

 

서버로부터 Command 번호와 cmd[번호].dex를 저장할 경로, yandex 토큰 정보를 받아온다.

 

[그림 12] 커맨드 번호와 저장할 DEX경로 다운

 

C&C로부터 받은 cmd12.dex파일을 DexLoader를 통해 메모리에 로딩한 뒤 실행한다.

 

[그림 13] 다운 받은 DEX파일 실행

 

C&C로부터 custom.dex 파일을 다운 받은 뒤 실행한다.

[그림 14] custom.dex파일 다운 및 실행

 

cmd12.dex 파일은 카카오톡 대화 내용을 탈취한다. (현재의 카카오톡 버전은 탈취가 불가능하다)

 

[그림 15] 카카오톡 대화내용 탈취 

 

custom.dex 파일에서 개인 정보를 감시하고 탈취한 뒤 서버로 전송한다.

 

[그림 16] 녹음

  

[그림 17] SMS탈취

 

[그림 18] 현재 위치 정보 탈취

 

[그림 19] 전화 기록 탈취

 

[그림 20] 주소록 탈취