영업팀에 문의
  /  테크니컬  / 주의! 가짜 '차세대 mParivahan' 악성코드, 강화된 은밀성과 데이터 유출로 다시 등장
주의하세요! 가짜 '차세대 mParivahan' 악성코드가 강화된 은밀성과 데이터 유출로 다시 등장했습니다.

주의하세요! 가짜 '차세대 mParivahan' 악성코드가 강화된 은밀성과 데이터 유출로 다시 등장했습니다.

Written by 디그비제이 메인
디그비제이 메인
테크니컬

사이버 범죄자들은 ​​끊임없이 전략을 정교화하여 안드로이드 악성코드를 더욱 교활하고 탐지하기 어렵게 만들고 있습니다. 가짜 차세대 mParivahan 이전의 기만적인 전략을 그대로 따르지만 상당한 개선 사항을 도입한 맬웨어가 등장했습니다.

이전에 공격자들은 정부의 교통 알림 시스템을 악용하여 악성 코드를 유포하고, 공식적인 교통 위반 경고처럼 위장한 가짜 메시지를 발송했습니다. 이러한 메시지에는 티켓 번호와 차량 등록 정보와 같은 정보가 포함되어 있어 합법적인 것처럼 위장하여 사용자를 속여 악성 앱을 다운로드하도록 유도했습니다. 앱이 설치되면 광범위한 권한을 요청하고, 아이콘을 숨기고, 텔레그램 봇을 통해 공격자와 통신하는 동안 SMS 메시지를 포함한 민감한 데이터를 은밀하게 유출했습니다.

그림 1. 피해자가 받은 WhatsApp 메시지

이 최신 변종에서 악성코드는 정부 공식 앱을 모방한 "NextGen mParivahan"이라는 이름으로 배포됩니다. 이전과 동일한 배포 방식, 즉 가짜 교통 위반 메시지를 활용하여 사용자를 유인하여 악성 앱을 설치하도록 유도합니다.

도로교통부(Ministry of Road Transport & Highways)에서 개발한 공식 NextGen mParivahan 앱은 운전면허증, 차량등록증 및 기타 교통 서비스에 대한 디지털 접근을 제공합니다. Google Play 스토어에서 다운로드할 수 있으며, 기존 mParivahan 앱을 대체하여 향상된 기능과 사용자 경험을 제공합니다.

그러나 사이버 범죄자들은 ​​앱의 리브랜딩으로 인해 제공되는 기회를 포착하여 악성 소프트웨어를 배포했습니다. “차세대 mParivahan” 사용자를 속이기 위해 이름을 사용했습니다. 이 최신 변종에서도 이 악성코드는 SMS를 훔치는 기능을 그대로 유지합니다. 이 악성코드는 공격 범위를 크게 확대하여 이제 소셜 미디어, 커뮤니케이션, 전자상거래 앱의 메시지를 표적으로 삼아 사용자 개인 정보 보호에 더욱 심각한 위협을 가하고 있습니다.

더욱이 일부 샘플은 컴파일된 .so 파일 내에 C2 세부 정보를 은폐하고 런타임에 동적으로 생성하는 더욱 은밀한 명령 및 제어(C2) 메커니즘을 사용했습니다. 이러한 접근 방식은 탐지 및 분석을 매우 복잡하게 만듭니다. 일부 샘플은 보안 노력을 더욱 방해하기 위해 의도적으로 변형되었으며, 다단계 드로퍼 페이로드 아키텍처를 활용하여 시그니처 기반 및 휴리스틱 탐지 시스템을 우회합니다.

이전 블로그에서는 이전 버전의 감염 체인과 커뮤니케이션 전략을 분석했습니다.주의하세요! 정부 경보로 위장한 악성 안드로이드 맬웨어). 이러한 최신 변종은 해당 기능을 유지할 뿐만 아니라 기능을 확장하여 은밀성과 데이터 도용 기능을 모두 강화했습니다.

이 블로그에서는 이 새로운 변종이 어떻게 작동하는지 설명하고, 새로운 기능 향상으로 인해 Android 사용자에게 더 큰 위협이 되는 이유를 알아보겠습니다.

기술 분석 :

우리는 새로운 버전에서 두 가지 변종을 발견했습니다. 하나는 잘못된 다단계 드로퍼 페이로드 아키텍처를 활용하고, 다른 하나는 다른 앱에서 알림 데이터를 훔치는 동안 은밀한 C2 추출 방법을 사용합니다.

  1. 잘못된 다단계 드로퍼 페이로드

첫 번째 단계 - 드로퍼 2단계 - 탑재물
파일 이름 e_challan_report 파리바한
MD5 ad4626eff5238ce7c996852659c527bc ae1f49bd14027c7adea18147cb02f72a
앱 이름 차세대 mParivahan 차세대 mParivahan
패키지 이름 com.xyz.dropper com.example.icici

분석 방지 기술

악성코드 제작자는 정적 분석을 방해하기 위해 의도적으로 이러한 드로퍼와 페이로드 APK를 제작했습니다. 많은 오픈소스 안드로이드 APK 분석 도구가 이 APK를 처리하지 못해 분석이 더욱 어려워졌습니다. 아래를 참조하세요.

Apktool이 APK를 디컴파일하지 못했습니다.

그림 2. Apktool 오류

Jadx가 디컴파일에 실패했습니다.

그림 3. Jadx 오류

Androguard가 디컴파일에 실패했습니다.

그림 4. Androguard 오류

 

바이트코드 뷰어가 디컴파일에 실패했습니다.

그림 5. 바이트코드 뷰어 오류

7zip도 APK 파일 추출에 실패했습니다.

그림 6. 7zip 오류

Android 빌드 도구 AAPT(Android Asset Packaging Tool) 및 AAPT2(Android Asset Packaging Tool)도 AndroidManifest.xml 파일을 덤프할 수 없습니다.

그림 7. AAPT 오류

또한, 이 잘못된 APK 파일은 손상된 XML 파일로 인해 Android 8.1 및 이전 버전에 설치되지 않습니다. OS가 이후 Android 버전처럼 해당 파일을 추출할 수 없기 때문입니다.

그림 8. Android 8.1 APK 설치 오류

이러한 모든 도구에서 표시되는 오류는 지원되지 않는 압축 방식, 즉 APK 파일이 잘못된 압축 방식을 사용하고 있음을 나타냅니다. 그러나 AAPT와 Android OS 8.1(API 레벨 27)에서는 지원되지 않는 압축 방식과 관련 없는 손상된 AndroidManifest.xml 오류가 보고됩니다. 그럼에도 불구하고, 잘못된 형식의 APK는 Android OS 9(API 레벨 28) 이상을 실행하는 Android 기기 및 에뮬레이터에서 문제 없이 설치 및 실행됩니다.

Android OS(9+)에서 이 APK를 실행하는 동안 분석 도구가 실패하는 이유는 무엇입니까?

APK 파일은 기본적으로 ZIP 아카이브입니다. 아래는 헤더 형식이며, 오프셋 08과 09의 값은 ZIP 파일에 사용된 압축 방식을 나타냅니다.

그림 9. APK ZIP 파일의 구조 (참고: PKZip 파일의 구조)

Android APK 파일은 ZIP 형식을 따르며 일반적으로 두 가지 압축 방법을 사용합니다.

  1. 저장(압축 없음) – 사전 최적화된 바이너리 및 일부 에셋과 같이 압축이 필요 없는 파일에 사용됩니다.
  2. 수축(표준 압축) – 리소스, XML 파일 및 기타 실행 불가능한 콘텐츠를 압축하는 데 가장 많이 사용되는 방법입니다.

대부분의 APK 파일에서 사용하는 압축 방법은 다음과 같습니다.

그림 10. 일반 파일 Hex

이 잘못된 드로퍼 APK 파일에 사용된 압축 방식은 Deflate도 Store도 아닙니다. 값은 0x1998(6552진수 XNUMX)이며, ZIP 형식에서는 지원되지 않습니다.

 

그림 11. 잘못된 APK Hex
  • 모든 분석 도구는 ZIP 형식을 엄격하게 따르며, 압축 방식이 Deflate 또는 Store only일 것으로 예상합니다. 그러나 Android OS는 압축 방식이 Deflate인지 여부만 확인합니다. Deflate가 아닌 경우, OS는 압축 방식이 Store(즉, 압축되지 않음)라고 가정합니다.
  • Android 9는 Android 8과 달리 모놀리식 앱의 파싱 방식을 다르게 구현했습니다. 이 새로운 구현 방식은 애셋 접근 방식을 다르게 처리합니다. 그 결과, Android 8 및 이전 버전에서 매니페스트 손상 오류를 발생시켰던 특정 APK는 Android 9에서는 더 이상 이 문제가 발생하지 않습니다.

AndroidManifest 파일 추출 및 디코딩 

APK의 ZIP 구조를 파싱하여 원시 AndroidManifest.xml을 추출하는 스크립트를 작성했습니다. 이 스크립트는 중앙 디렉터리를 찾고 AndroidManifest.xml을 찾은 후, 압축 세부 정보와 원시 데이터를 추출합니다. 그런 다음 Androguard를 사용하여 추출된 원시 AndroidManifest.xml을 읽을 수 있는 XML 형식으로 디코딩합니다.

그림 12. AndroidManifest.xml 추출 및 인코딩

아래는 Dropper APK의 디코딩된 AndroidManifest.xml입니다. 설치된 앱을 나열하려면 QUERY_ALL_PACKAGES 권한을 요청하고, 페이로드 애플리케이션을 설치하려면 REQUEST_INSTALL_PACKAGES 권한을 요청합니다.

그림 13. Dropper 애플리케이션의 디코딩된 AndroidManifest xml 파일.

아래는 Payload APK의 디코딩된 AndroidManifest.xml입니다. SMS 메시지에 접근하고 전송하기 위해 RECEIVE_SMS, READ_SMS, SEND_SMS와 같은 민감한 권한을 요청합니다.

그림 14. 페이로드 애플리케이션에서 디코딩된 AndroidManifest xml

악성코드 실행

Dropper 앱이 실행되면 사용자에게 앱 업데이트 여부를 묻습니다. "업데이트"를 클릭하면 알 수 없는 출처의 앱 설치 허용 여부를 묻는 메시지가 표시됩니다. 허용되면 Dropper와 동일한 아이콘을 사용하지만 앱 서랍에서 아이콘을 숨기는 Payload APK가 설치됩니다.

그림 15. Dropper 애플리케이션 실행

이제 사용자가 mParivahan 앱 아이콘을 클릭하면 Payload 앱이 실행됩니다. 먼저 SMS 및 통화 권한을 요청합니다. 그런 다음, 챌런(Challan) 상태를 확인하기 위해 차량 번호와 전화번호를 입력하라는 페이지가 표시됩니다. 그런 다음, PhonePe, Google Pay 또는 Paytm을 통해 ₹1을 결제하라는 메시지가 표시되고 결제 PIN을 입력해야 합니다. 거래가 완료되면 "결제가 완료되었습니다. 30분 동안 기다리시고, 기기에서 앱을 삭제하지 마십시오."라는 확인 페이지가 표시됩니다.

그림 16. 페이로드 애플리케이션 실행

하지만 이 앱은 입력된 정보를 백그라운드에서 훔쳐 Firebase 데이터베이스에 저장합니다. 또한, SMS 접근 권한이 있으므로 수신 SMS 데이터도 수집하여 Firebase에 업로드합니다.

그림 17. 핀 및 장치 정보 도용 코드

  1. 더욱 은밀한 네이티브 C2 추출 및 알림 도용기

파일 이름 NextGen mParivahan.apk
MD5 8bf7ea1c35697967a33c0876df5f30b9
앱 이름 차세대 mParivahan
패키지 이름 com.sakurai.endo3798132

 

두 번째 변종은 실행 시 SMS 및 통화 관리 권한을 요청합니다. 그런 다음 사용자에게 맬웨어에 대한 알림 접근 권한을 부여하도록 요청합니다. 필요한 모든 권한을 획득한 후, 사용자는 전화번호를 입력해야 합니다. 사용자가 "계속"을 클릭하면 Google 홈페이지가 열리고 아이콘이 숨겨집니다.

그림 18. 앱 실행

알림 데이터에 접근하는 악성코드는 알림을 지속적으로 모니터링합니다. 새 알림이 게시될 때마다 데이터를 캡처하여 C2 서버로 전송합니다.

그림 19. 알림 도용 코드

이 악성 애플리케이션은 알림 도용 대상 앱 목록을 관리합니다. 대상 애플리케이션에는 WhatsApp, Facebook, Amazon, Zomato, Telegram, Google Messages, Gmail 등이 포함됩니다.

그림 20. 대상 애플리케이션 목록

네이티브 코드에서 C2 추출

이 악성코드는 탐지를 피하기 위해 일반 텍스트 저장을 피하면서 런타임에 C2 서버 URL을 동적으로 생성합니다. 아래 그림은 Java 섹션의 코드를 보여주는데, 여기서 SecreatHeven 클래스가 네이티브 라이브러리를 로드하는 역할을 합니다. “libbunnycoban.so” 네이티브 함수를 정의합니다. 여기서 bunnylovesCarrot() 함수는 C2 서버 URL을 반환합니다. IP 정보 서비스 URL과 IP 정보 토큰을 반환하는 hiddendandelion()과 SecreatAcron()이라는 두 가지 추가 함수가 있습니다. 맬웨어는 C2 서버 생성 과정에서 이러한 함수를 사용할 수 있는데, 코드의 다른 곳에서는 이 함수들이 참조되지 않기 때문입니다.

그림 21. SO 파일을 로딩하는 Java 코드

다음은 .so 파일에서 C2 서버를 생성하는 코드를 보여주는 코드 조각입니다.

그림 22. SO 파일에서 C2 서버를 구성하는 데 사용되는 코드

로그에는 이 맬웨어가 사용하는 C2 서버가 명확하게 나와 있습니다.

그림 23. logcat에서 언급된 c2

두 변종 모두 이전 버전과 유사한 SMS 탈취 기능을 갖추고 있습니다. SMS 데이터에 접근하여 추출된 C2 서버 또는 Firebase로 전송합니다. 또한, 지속성을 위해 부트로더 브로드캐스트 리시버를 구현하여 기기 부팅 후 애플리케이션이 백그라운드에서 실행될 수 있도록 합니다.

 

MITRE ATT&CK 전술 및 기술:

안드로이드 악성코드 빠른 치료 탐지

Quick Heal은 Android.Spyagent.A 변형을 사용하는 이러한 악성 애플리케이션을 감지합니다.

모든 모바일 사용자는 이러한 위협을 완화하고 보안을 유지하기 위해 "Quick Heal Mobile Security for Android"와 같은 신뢰할 수 있는 바이러스 백신 프로그램을 설치하는 것이 좋습니다. 당사의 바이러스 백신 소프트웨어는 사용자가 모바일 기기에 악성 애플리케이션을 다운로드하는 것을 차단합니다. Android 보안 프로그램을 다운로드하세요. 여기에서 확인하세요.

결론 :

이 악성코드 변종은 사이버 범죄자들이 탐지를 피하고 더 많은 사용자 데이터를 훔치기 위해 끊임없이 수법을 발전시키는 모습을 보여줍니다. 악성 APK, 동적 C2 생성, 그리고 분석 차단 기법을 활용함으로써 기존 보안 도구로는 악성 활동을 파악하기가 점점 더 어려워지고 있습니다. 또한, 이러한 악성코드가 알림, SMS, 그리고 민감한 앱 데이터에 접근할 수 있다는 점은 사용자 개인 정보 보호에 심각한 위험을 초래합니다.

하지만 위협이 진화함에 따라 분석 방법론 또한 진화하고 있습니다. 보안 솔루션과 위협 인텔리전스 활동은 난독화 전략, 동적 분석, 그리고 고급 위협 탐지 기법을 심층적으로 분석하여 탐지 기술을 향상시키고 있습니다. 보안 인식 강화, 앱 설치 시 신뢰할 수 있는 출처 활용, 그리고 최신 분석 도구 활용은 이러한 새로운 위협에 맞서는 데 필수적입니다.

IOC

URL :

Https[:]//cyberdefensetech[.]cc/

 

디지털 보안을 유지하기 위한 팁: 

  • 다음과 같은 신뢰할 수 있는 출처에서만 애플리케이션을 다운로드하세요. 구글 Play 스토어.
  • 메시지나 다른 소셜 미디어 플랫폼을 통해 받은 링크는 의도적이든 무심코든 악성 사이트로 연결될 수 있으므로 클릭하지 마세요.
  • 새로운 권한을 수락하거나 허용하기 전에 Android 시스템의 팝업 메시지를 읽어보세요.
  • 악성 소프트웨어 제작자는 원래 애플리케이션의 이름, 아이콘, 개발자 세부 정보를 쉽게 위조할 수 있으므로 휴대폰에 어떤 애플리케이션을 다운로드할지 매우 신중해야 합니다.
  • 향상된 휴대전화 보호를 위해 항상 다음과 같은 우수한 바이러스 백신을 사용하세요. Android용 Quick Heal 모바일 보안.

기다리지 마세요! 오늘 Quick Heal Total Security for Mobiles & Smartphones로 스마트폰을 안전하게 보호하세요. 오늘 구매하거나 갱신하세요!

 

디그비제이 메인

Digvijay Mane에 대하여

디그비제이 메인은 안드로이드 악성코드 분석에 중점을 둔 보안 연구원입니다. 그는 새로운 모바일 위협을 탐구하고, 악성 앱의 리버스 엔지니어링을 수행하며, 다음과 같은 내용을 공유합니다.

Digvijay Mane의 기사 »

관련 게시물