북한기도(NKPrayer) 악성앱 주의
Contents
□ 개요
최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다.
□ 내용
북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다.
[그림 1] 북한기도 앱 아이콘
[그림 2] 특정 광고 화면
특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.
[그림 3] 북한기도에 관련된 문구가 쓰인 화면
assets/aaa 파일을 설치한다.
[그림 4] aaa 파일 설치
assets/bbb 파일을 설치한다.
[그림 5] bbb 파일 설치
bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다.
[그림 6] 아이콘 숨기기
[그림 7] 실행 시 앱 종료
녹음된 파일을 저장한다.
- 저장경로: /sdcard/ToHCallRecord/
[그림 8] 녹음된 파일 저장 경로
aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.
[그림 9] 계정 정보 탈취
[그림 10] 기기 정보 탈취
[그림 11] 앱 리스트 …
최근 한국에 탈북자를 대상으로 카카오톡 피싱이 일어나고 있어 주의를 요구하고 있다. 카카오톡 같은 메신저를 통해 전파되기 때문에 지인인 줄 알고 대화에 응해 상대방이 보낸 URL이나 앱 설치파일을 눌러서 설치하게 된다. '북한기도'라는 앱으로 위장하여 배포되고 있으며 단말기에 설치되면 상대방의 사생활을 감시하고 개인의 민감한 정보를 탈취하여 C&C로 전송한다.
□ 내용
북한기도 앱을 실행하면 Overlay를 이용하여 특정 광고를 강제로 최상단에 띄운뒤 사용자 몰래 인증 되지 않은 앱을 설치한다.
[그림 1] 북한기도 앱 아이콘
[그림 2] 특정 광고 화면
특정 광고가 끝나면 [그림 3]과 같은 화면을 보여준다.
[그림 3] 북한기도에 관련된 문구가 쓰인 화면
assets/aaa 파일을 설치한다.
[그림 4] aaa 파일 설치
assets/bbb 파일을 설치한다.
[그림 5] bbb 파일 설치
bbb.apk 파일은 구글 스토어에 있는 정상 통화 녹음 앱의 코드를 일부 수정해서 리패키징한 APK 파일이다.
[그림 6] 아이콘 숨기기
[그림 7] 실행 시 앱 종료
녹음된 파일을 저장한다.
- 저장경로: /sdcard/ToHCallRecord/
[그림 8] 녹음된 파일 저장 경로
aaa.apk 파일은 기기 정보를 탈취하고 C&C로부터 DEX파일을 다운받아 메모리에 로딩한 뒤 실행시킨다.
[그림 9] 계정 정보 탈취
[그림 10] 기기 정보 탈취
[그림 11] 앱 리스트 …