안드로이드 폰 금융관련 스미싱 프로그램 분해해보기

어느날 지인의 폰이 해킹당하여 다음과 같이 문자가 온다.

 

 

 

lruao.kr?? 보나마나 스미싱 관련 사이트이다.

들어가보면, 다음과 같이 APK파일을 설치하도록 유도를 한다. (안드로이드폰에서는 자동 설치가 되는듯하다)

 

 

 

이 병신은 청첩장이라는 apk파일을 다운로드를 유도하고 있다.

직장인들이야 청첩장이 많이 올게 뻔하고, 요즘 모바일 청첩장이 유행하다 보니 아무생각없이 클릭할 수 있다.

 

일단 안드로이드가 아닌 데스크탑에서 해당하는 파일은 어차피 설치도 안되니 일단 다운로드 해보자

 

이제 컴파일된 바이트코드를 디컴파일하면 되는데, 머신코드로 바로 바뀌는 DLL 과 같은 파일과는 다르게 아래와 같은 툴로도 쉽게 디컴파일이 된다. 그냥 툴을 이용하면 된다. 어차피 이런 되먹지 못한 놈들은 대충 만들었을기 뻔하기 때문에 난독화나 암호화를 했을리가 없다고 생각한다. 안드로이드는 자바 기반인데, 자바를 일단 깔면 된다.

다음에 할일은 Dex2Jar라는 디컴파일러로 한번 디컴파일 해준다음에 알맞은 GUI툴로 보면 된다.

 

디컴파일러는 Dex2Jar 이라는 놈을 받아서 깐다

https://code.google.com/p/dex2jar/downloads/list

 

그리고, 뭐 이클립스 같은걸로 Jar 파일 열어도 상관없기는 한데, 뭐 인터넷 뒤지다 보니 다음과 같은 게 있다

jd-GUI

http://jd.benow.ca/

 

 

 

 

일단 apk 파일확장자를 zip으로 바꾼후에 그냥 압축을 해제해도 되고, 아니면 콘솔에서 다음과 같이

dex2jar 파일이름

을 쳐도 된다.

 

 

 

자 이제 이놈이 무슨짓을 했는지 열어보면 된다.

JD-GUI는 바로 코드를 열어볼수 있다.

 

 

자 코드를 바로 봐보자. fuck() 이라는 메서드가 참 인상적이다. 뭐가 그렇게 마음에 들지 않았을까

개새끼는 바로 너인데

보아하니 중국동포들에게는 미안하지만 조선족이라는 느낌을 지울수가 없다. 한자가 섞여있는데, 한국어는 한국어대로있다.

 

프로그램은, 스미싱 결과를 전송하기 위한 이메일세팅, 그리고 사진을 전송하기 위해 보안카드 사진을 찍게 만드는 조금은 허접한 부분

비밀번호 등을 치게 만드는 코드등이 있다. 어떠한 부분이 전송되는지는 다음과 같다.

 

 

 

 

 

 

일단 그냥 평범한 해킹 프로그램에 가깝다. OTP를 이용한 거래는 이런 프로그램 구조라면 털어가기 좀 힘들다.

다만 대부분의 모바일 거래는 그냥 이체비밀번호치고 간단하게 거래하는 형식이라 이러한 형식으로 돈이 많이 털릴수 있다.

 

이 자식이 탈취하는 정보는 다음과 같다. 나름 객체지향으로 만들어 놨다..

 

 

 

이 자식이 fuck()메서드는 많이 썼어도, 훔쳐갈 정보 클래스는 객체지향으로 알아보기 쉽게 친절하게 만들어주었다. private하게 캡슐화를 잘 시켜준것도 칭찬할만 하다. camel형식의 코딩 컨벤션도 잘 지켰다.

보면 알듯이, 이체비밀번호, 아이디, 인증비밀번호 카드번호, 은행종류, 계좌번호 등등 빼내갈수 있는건 다 빼내가는것으로 보인다.

 

더 뜯어보고 싶지만, 조금 피곤하기때문에 그냥 잠을 자고 나중에 시간날때 업데이트 시켜야겠다 안녕~

 

아 맞다. 다음과 같은 이미지가 해킹프로그램에 숨겨져있었다. 정리하기 귀찮으니 그냥 스크린샷 올린다