2025년 1월 21일, S2W 위협 연구 및 정보 센터인 Talon은 VirusTotal에서 북한이 지원하는 APT 그룹과 관련이 있을 것으로 의심되는 "문서열람 인증 앱"(Document Viewing Authentication App)으로 식별된 맬웨어 샘플을 사냥하고 분석했다. 이 악성 앱은 XOR 연산을 사용하여 패키지 내의 "security.db" 파일을 복호화하고 DEX 파일을 동적으로 로드한다. => C2 서버로부터 명령을 수신하여 키로깅 및 정보 유출과 관련된악성 기능을 수행한다. 이 악성코드는 이전에 확인되지 못한 유형이며, 문서 열람 인증 앱으로 위장하였다.
악성코드 분석
VirusTotal을 통해 "문서열람 인증 앱"이라는 악성 앱이 발견되었다. 난독화된 APK 파일을 복호화하고 내부에 저장된 DEX 파일의 코드를 실행한다.
복호화 과정에서 오픈소스 프로젝트인 LoadedApkPlugin이 활용되었으며, 원래 코드에 추가된 XOR 연산을 도입하는 수정 과정이 이루어진다.
복호화된 APK 파일은 DEX 파일을 로드하고 수행하며 이는 접근성 서비스를 통한 키로깅, 소켓 통신을 통한 파일 전송, 카메라 조작, 오디오 녹음 등의 정보 유출이 가능해진다. 키로깅 중에는 이벤트가 발생한 앱의 패키지 이름, 앱 아이콘, 그리고 이벤트 관련 텍스트가 C2 서버로 전송되고, 해당 정보는
- /data/data/com.security.library/Security/download_{일 — 월-년}.dat <-에 저장된다.
악성 앱은 AndroidManifest.xml 파일에 선언된 모든 권한을 검색하고 사용자에게 승인되지 않은 권한을 허용하도록 요청하고, 로깅을 수행하기 위해 맬웨어는 접근성 권한을 요청하는 알림을 반복적으로 생성한다 ("올바른 기능을 보장하려면 접근성 권한을 활성화하세요").
2025년 2월 21일, 앱의 C2 주소에 접속했을 때 코인스왑(CoinSwap)으로 위장한 피싱 페이지가 발견되었다. 그러나 2025년 2월 27일, 네이버 파비콘과 "Million OK!!!!"라는 문자열이 나타나, 이전에 "김수 키 그룹"의 네이버 계정을 대상으로 한 피싱 서버에서도 유사한 특징이 발견된 바 있다.
악성코드 분석 절차
1. 초기 분석
자동화 도구를 이용하여 악성코드의 외형과 동작을 빠르게 분석하여 의심되는 악성코드의 파일 용량, 패킹여부, 이전의 악성코드와의 유사성을 비교 분석한다.
2. 정적 분석
악성코드를 실행하지 않고 분석하는 방식이며, 역공학 기법을 통해 파일의 구조와 문자열, 헤더 정보, 추가 리스트 등을 파악한다.
3. 동적 분석
악성코드를 실제 또는 가상환경에서 수행하면서 분석하는 방식이며, 행위 분석을 통해 악성 코드가 레지스트리, 파일 시스템, 프로세스, 네트워크와 어떻게 상호작용하는지를 파악한다. 리버싱 분석을 통해 복호화하고, 악성코드의 알고리즘을 침해 사고 관점에서 파악한다.
'swuforce' 카테고리의 다른 글
| [워게임 공부]Inject me!!! (0) | 2025.05.20 |
|---|---|
| [워게임]Inject me!!! (0) | 2025.05.20 |
| [워게임_스터디]Carve Party (0) | 2025.05.13 |
| [워게임]Carve party (0) | 2025.05.13 |
| [PlainBit]구글 광고 스크립트 삽입 공격 사례: 당신의 웹 사이트, 누군가 돈을 버는 수단으로 활용하고 있다면? (0) | 2025.05.10 |