[Phishing] 몸캠 피싱 어플 tonight.apk 분석 보고서
개요
Tonight (이하. 투나잇)이라는 성인 사이트(http://www{.}tonight123{.}com)에서 몸캠 피싱 어플을 배포하여 사용자의 개인정보를 탈취하는 행위를 분석했다.
분석 정보
분석 환경
OS | Windows 11 Pro, Android API 28 |
---|---|
Tools | jadx-gui |
분석 대상
No | A |
---|---|
File Name | tonight.apk |
MD5 | 424490bf9e7c8cc664bf21e5333db3bf |
SHA-256 | 0020a89bc732adc79fcf165cdaddb9367d5e081badb3f818ebef180a24fb75c4 |
File Type | Android APK |
File Version | 2.0 |
Target SDK | 31 |
Target Min SDK | 19 |
File Size | 3.02 MB (3164402 bytes) |
Creation Time | 2022-04-18 11:15:51 UTC |
Tag |
자동화 분석
VirusTotal 분석 결과 트로이목마로 다소 의심되는 점들이 많이 보인다.
이를 참고하여 분석을 진행했다.
행위 분석
현재 정상적으로 접속이 불가능하다.
정적 분석
APK 파일을 살펴보면, 중국 도메인 서버를 두고 있는 API 주소(116.204.169.213
)를 찾을 수 있다.
해당 데이터는 안드로이드 단말기에 저장된 연락처, 이미지, 메세지, 통화기록을 가져와 API 서버로 전달되는 점을 알 수 있다.
사용자의 데이터를 가져오는 소스 중 LocalMessage.java를 살펴보자.
먼저 사용된 패키지를 살펴보면, Serializable
는 안드로이드 Activity에서 Object로 넘겨주는 역할과 litePal
라는 SQLite 데이터베이스 프레임워크를 사용하고 있다.
다음으로 API 주소인 116.204.169.213
에서 포트를 조사했다.
특이점은 open 상태인 서비스 중에 9001
포트가 APK 파일에서 발견된 API 서버에서도 같은 포트가 보였다.
동적 분석
해당 어플의 API 서버가 닫혀 있어 동적 분석은 불가능했다.
결론
- 한국인 타겟으로 제작된 성인 사이트에서 악성 어플을 배포하였다.
- 어플은 SMS, GPS 등뿐만 아니라 몸캠 피싱을 유도하는 행위가 포함되어 있다.
- 해당 데이터는 중국 API 서버인
116.204.169.213
으로 전달되는 점을 알 수 있다.
- 여담으로
ThinkPHP
취약점을 공략한다면 서버 탈취도 가능해 보인다.
'Analysis Report' 카테고리의 다른 글
[Android] Facebook 계정 탈취하는 악성코드 Photo Motion 어플 분석 보고서 (1) | 2022.06.20 |
---|---|
[Phishing] 우체국 사칭 어플 epost.apk 분석 보고서 (0) | 2022.06.18 |
[Windows] 00 대학교 입학키트 USB "ECAP.EXE" 분석 (0) | 2022.04.05 |
[Google] 안드로이드 웹뷰(Android System WebView) 앱간 충돌 원인 분석 (2) | 2021.03.24 |
[Samsung] Galaxy Buds Pro 유출 분석 (0) | 2020.12.19 |