스카이프 사기 어플리케이션 APK 가 구동되는원리와 분석. (Gmail)

2014. 10. 29. 00:18     작성자: Blog_master

기본적으로 해킹이 어떻게 당하시는지 모르시는분들이 있으신분들을 위해 알려드립니다.


우선 기본적인 Gmail 형식입니다. 악성앱입니다.


해당 apk 를 디컴파일후 열어보면 이런익숙한 문구가보일실껍니다

 

 

 

 

 

실행후 잠시 멈추엇다가 서버점검이라는 메세지를 띄우고 종료가됩니다


사용자 연락처 탈취를 하는 스미싱앱으로 위장한 앱일뿐이죠


그리고


악성앱을 만들어내는 소스 의 대략적인 컴파일 순서는 아래와 같습니다


 매우 단순한 구조로 대부분 의 처리가 SecretView 클래스에서 이루어집니다.


 파일 정보에서 용량을 확인하면 대략 400~500 KB 정 도인데,


음성서비스를 제공하기 위해 앱의 용량 치고는 작아도 너무 작다는 것 에 대해 의심해 봐야죠


이런 부분에서 조금만 주의를 기울인다면 충분히 악성앱에 대한 설치를 방지할 수 있습니다


메소드 실행 순서는


대충


MainActivity → SecretView → inputidandpw() → ReadFromDB() → Requestmail() → AlertDialog.builder() 


이런식입니다


Requestmail() 에서 AlertDialog.builder() 넘어갈떄


새로운 쓰레드를 만들고 Gmailsender 를 실행시킵니다.

 

 

그리고

 

 

 

 

InputIdAndPw() 메소드를 실행하고 나서  ReadFromDB()  메소드를 실행합니다.

 

 

 

 


ReadFromDB() 메소드는 악성앱을 설치한 사용자의 연락처 리스트에서 두 개의 쿼리문을 이용하 여 각각 전화번호와 이름 정보를 가져와 준비한 벡터 컨테이너에 저장한 후 이것을 다시 문자열 변수인 contacts로 저장합니다.  

 

 

 

 

 

벡터 에 저장한 전화번호와 이름 정보를 contacts 로 복사합니다.


그리고 문자열 변수인 contacts를 메일의 내 용에 해당하는 인자값으로


 전달하고 있고 받는 사람과 보내는 사람은 모두 InputIdAndPw() 메서 드에서 볼 수 있었던 특정 계정으로 되어있습니다.

 

 

 

 

그리고 흥미로운점은 , 메일을 보내는데 걸리는 시간을 고려해 동시에 sleep(3000) 메서드로 3초간 앱을 정지시키고


 백업용 아이디로 다시 보냅니다.


이번게시물에서는 Gmail 형식으로된 악성앱을 분석햇지만


직접서버를 구축해 서버에 데이터를 넘기는 형식인 앱도 있습니다

 

 

로그인이 필요없는 추천은 블로거에게 힘이됩니다