북한 해킹 단체 김수키(Kimsuky)에서 만든 피싱 안드로이드 악성코드-8.aab(2024.3.22)
Contents
오늘은 북한 해킹 단체에서 만든 피싱 안드로이드 악성코드인 8.aab(2024.3.22)에 대해 분석을 해보겠습니다. 오래간만에 jadx 로 진행을 하려고 하니조금은 어색하기도 합니다. 일단 jadx로 분석을 하려고 해당 김수키(Kimsuky)에서 피싱 안드로이드인 8.aab(2024.3.22)에 대해 분석을 해보겠습니다.
일단 먼저 해쉬값은 다음과 같습니다.
파일명:8.apk
사이즈:1.44 MB
MD5:a5d17298ccf0bc07612873819f5bab37
SHA-1:55d3990e60be2ec0908ca83b2ae07833c20791de
SHA-256:3e397e929c92d5f4fd6040cedb2ac6233d37ef29e96085d29dda04acf30b8355
음~일단 파일 크기가 1.4메가 인것을 확인을 할수가 있습니다.
먼저 해당 안드로이드 악성코드의 권한을 보겠습니다.
<uses-feature android:name="android.hardware.telephony" android:required="false"/> <uses-permission android:name="android.permission.READ_PRIVILEGED_PHONE_STATE"/> <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/> <uses-permission android:name="android.permission.POST_NOTIFICATIONS"/> <uses-permission android:name="android.permission.INTERNET"/> <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/> <uses-permission android:name="android.permission.READ_SMS"/> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.MANAGE_EXTERNAL_STORAGE"/> <permission android:name="com.support.smdoumi.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION" android:protectionLevel="signature"/> <uses-permission android:name="com.support.smdoumi.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION"/>
안드로이드 권한 설명
android(.)hardware(.)telephony(선택적): 해당 기능은 휴대폰 기능을 사용하기 위한 하드웨어가 필요하다는 것을 나타냄
android(.)permission(.)READ_PRIVILEGED_PHONE_STATE:해당 권한은 휴대폰의 고유 식별 정보(IMEI 번호 등)를 읽는 데 필요 보안상의 이유로 최신 안드로이드에서는 권한 요청이 거부될 수 있습니다.즉 스마트폰의 기기의 IMEI, MEID 등 고유 식별자에 접근할 수 있는 권한
android(.)permission(.)REQUEST_IGNORE_BATTERY_OPTIMIZATIONS:해당 권한은 배터리 절약 기능을 무시하도록 요청하는 권한 앱이 지속적으로 백그라운드에서 실행되어야 하는 경우 필요할 수 있음
android(.)permission.POST_NOTIFICATIONS:해당 권한은 앱이 알림을 게시하는 데 필요
android(.)permission(.)INTERNET:해당 권한은 앱이 인터넷에 연결하는 데 필요 대부분의 앱에 필요한 기본 …
일단 먼저 해쉬값은 다음과 같습니다.
파일명:8.apk
사이즈:1.44 MB
MD5:a5d17298ccf0bc07612873819f5bab37
SHA-1:55d3990e60be2ec0908ca83b2ae07833c20791de
SHA-256:3e397e929c92d5f4fd6040cedb2ac6233d37ef29e96085d29dda04acf30b8355
음~일단 파일 크기가 1.4메가 인것을 확인을 할수가 있습니다.
먼저 해당 안드로이드 악성코드의 권한을 보겠습니다.
<uses-feature android:name="android.hardware.telephony" android:required="false"/> <uses-permission android:name="android.permission.READ_PRIVILEGED_PHONE_STATE"/> <uses-permission android:name="android.permission.REQUEST_IGNORE_BATTERY_OPTIMIZATIONS"/> <uses-permission android:name="android.permission.POST_NOTIFICATIONS"/> <uses-permission android:name="android.permission.INTERNET"/> <uses-permission android:name="android.permission.FOREGROUND_SERVICE"/> <uses-permission android:name="android.permission.READ_SMS"/> <uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/> <uses-permission android:name="android.permission.MANAGE_EXTERNAL_STORAGE"/> <permission android:name="com.support.smdoumi.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION" android:protectionLevel="signature"/> <uses-permission android:name="com.support.smdoumi.DYNAMIC_RECEIVER_NOT_EXPORTED_PERMISSION"/>
안드로이드 권한 설명
android(.)hardware(.)telephony(선택적): 해당 기능은 휴대폰 기능을 사용하기 위한 하드웨어가 필요하다는 것을 나타냄
android(.)permission(.)READ_PRIVILEGED_PHONE_STATE:해당 권한은 휴대폰의 고유 식별 정보(IMEI 번호 등)를 읽는 데 필요 보안상의 이유로 최신 안드로이드에서는 권한 요청이 거부될 수 있습니다.즉 스마트폰의 기기의 IMEI, MEID 등 고유 식별자에 접근할 수 있는 권한
android(.)permission(.)REQUEST_IGNORE_BATTERY_OPTIMIZATIONS:해당 권한은 배터리 절약 기능을 무시하도록 요청하는 권한 앱이 지속적으로 백그라운드에서 실행되어야 하는 경우 필요할 수 있음
android(.)permission.POST_NOTIFICATIONS:해당 권한은 앱이 알림을 게시하는 데 필요
android(.)permission(.)INTERNET:해당 권한은 앱이 인터넷에 연결하는 데 필요 대부분의 앱에 필요한 기본 …
IoC
3e397e929c92d5f4fd6040cedb2ac6233d37ef29e96085d29dda04acf30b8355
55d3990e60be2ec0908ca83b2ae07833c20791de
a5d17298ccf0bc07612873819f5bab37
55d3990e60be2ec0908ca83b2ae07833c20791de
a5d17298ccf0bc07612873819f5bab37