개요

Tonight (이하. 투나잇)이라는 성인 사이트(http://www{.}tonight123{.}com)에서 몸캠 피싱 어플을 배포하여 사용자의 개인정보를 탈취하는 행위를 분석했다.

분석 정보

분석 환경

OSWindows 11 Pro, Android API 28
Toolsjadx-gui

분석 대상

NoA
File Nametonight.apk
MD5424490bf9e7c8cc664bf21e5333db3bf
SHA-2560020a89bc732adc79fcf165cdaddb9367d5e081badb3f818ebef180a24fb75c4
File TypeAndroid APK
File Version2.0
Target SDK31
Target Min SDK19
File Size3.02 MB (3164402 bytes)
Creation Time2022-04-18 11:15:51 UTC
Tag

자동화 분석

VirusTotal 분석 결과 트로이목마로 다소 의심되는 점들이 많이 보인다.

이를 참고하여 분석을 진행했다.

행위 분석

현재 정상적으로 접속이 불가능하다.

정적 분석

APK 파일을 살펴보면, 중국 도메인 서버를 두고 있는 API 주소(116.204.169.213)를 찾을 수 있다.

해당 데이터는 안드로이드 단말기에 저장된 연락처, 이미지, 메세지, 통화기록을 가져와 API 서버로 전달되는 점을 알 수 있다.

LocalMessage

사용자의 데이터를 가져오는 소스 중 LocalMessage.java를 살펴보자.

먼저 사용된 패키지를 살펴보면, Serializable는 안드로이드 Activity에서 Object로 넘겨주는 역할과 litePal라는 SQLite 데이터베이스 프레임워크를 사용하고 있다.

다음으로 API 주소인 116.204.169.213에서 포트를 조사했다.

특이점은 open 상태인 서비스 중에 9001 포트가 APK 파일에서 발견된 API 서버에서도 같은 포트가 보였다.

동적 분석

해당 어플의 API 서버가 닫혀 있어 동적 분석은 불가능했다.

결론

  • 한국인 타겟으로 제작된 성인 사이트에서 악성 어플을 배포하였다.
  • 어플은 SMS, GPS 등뿐만 아니라 몸캠 피싱을 유도하는 행위가 포함되어 있다.
  • 해당 데이터는 중국 API 서버인 116.204.169.213으로 전달되는 점을 알 수 있다.
  • 여담으로 ThinkPHP 취약점을 공략한다면 서버 탈취도 가능해 보인다.