국가정보원이 이탈리아 소프트웨어 기업 '해킹팀(Hacking Team)' 으로부터 구입한 것으로 알려진 '원격조정시스템(RCS)'은 예전부터 스파이앱이라고 소개됬던 RAT(Remote Admin Tool)다.

<Fig1. HackingTeam>

기능은 언론과 블로그를 통해 많이 알려져 있으니 관련 자료를 참고 바람.

안드로이드 분석 내용

http://blog.naver.com/hinehong/220420733870

안드로이드 앱 실행파일들 분석 내용

http://blog.naver.com/hinehong/220421914756

아무리 정교하게 만든 도구라도 설치하지 못하면 말짱 도루묵이다.

기존에 스미싱 같은 경우 단축 URL를 눌러 설치 동의를 눌러야 설치가 가능했다. 그러나 위키리크스에 있는 이메일 송수신내용으로는 단축 URL에만 접속해도 감염된다고 한다. 

즉 기존 PC에서 자바취약점이나 브라우저 취약점등을 통해 임의의 실행파일을 실행하는 drive by download 과 같이 브라우저 취약점(webkit)을 통해 RCS를 설치한다.

RAT이기 때문에 당연히 정보를 보내려면 반드시 C&C서버가 존재할것이다.

위키리크스

https://wikileaks.org/hackingteam/emails/emailid/1031597

<Fig2. wikileak>

위키리크스에는 이메일 송수신 내역이 모두 저장되어서 조회가 가능하며 첨부 파일 까지 다운로드 가능하다.

<Fig3. exploit page address>

v9K0GQ에 대한 분석을 진행하였다.

<Fig4. exploit page>

exploit파일과 installer.apk 파일은 모두 암호화 되어 있다.

<Fig5. installer.apk>

script.js 또한 난독화가 적용되어 있다......

<Fig6. script.js>

방법 없다 난독화 부터 풀어야 한다...

<Fig7. installer.apk decryption>

난독화 풀고 한줄한줄 분석해서 결국 ...

<Fig8. dectypt_installer.apk >

풀어서 apk 파일을 획득했다.

<Fig9. package name >

이 앱의 패키지 명은 com.andorid.dvci 이다. 혹시 핸드폰에 패키지명 중 com.andorid.dvci 이름이 있으면 설치된거다.

<Fig10. dex2jar >

dex2jar로 깔끔하게 풀린다. 그러나..이건 어디서 많이 봤던건데..

<Fig11. dexguard>

윈도우에서 themida급인 dexguard가 적용되어 있다....ㅜ

방법 없다. 풀어야 한다...

<Fig12. dexguard string hacked!!>

정성스럽게 한줄 한줄 풀면서 분석한 결과 assets/cb.data을 열어 C&C 주소를 가져온다.

<Fig13. config file>

assets/cb.data 파일 역시나 암호화가 되어 있다...

<Fig14. cb.data>

또 다시 정성스럽게 한줄 한줄 분석 하여

<Fig15. Encryption API>

풀고 결국 Android RCS Agent configfile decrypter를 만들어 버렸다. @.@

<Fig16. Android RCS Agent config decrypter>

이 샘플의 C&C서버 주소는 hualhope.mooo.com다.

Android_RCS_Agent_config_decrypter_v0.1.zip

등록 코드를  kkoha@msn.com으로  메일로 보내주셔야 사용이 가능합니다.

<Fig1. JTBC>

최초 기사 : 오마이뉴스 - 국정원, '무료 앱' 미끼로 일반인 전방위 사찰 의혹

http://www.ohmynews.com/NWS_Web/View/at_pg.aspx?CNTN_CD=A0002127936&PAGE_CD=ET001&BLCK_NO=1&CMPT_CD=T0016

이후 JTBC 보도 : 무료앱에 숨은 감청SW…국정원, 불특정 다수 위치추적

http://news.jtbc.joins.com/article/article.aspx?news_id=NB10965936

기사 내용 : <오마이뉴스>가 16일 김광진 새정치민주연합 의원실로부터 단독 입수한 자료를 분석한 결과, 이 블로그의 운영자는 '김동현'(DONG-HYEON KIM)이라는 사람이다. 김씨는 이 블로그 계정을 통해 구글 플러스를 이용했다. 그는 구글 플러스로 안드로이드 스마트폰용 TV, 영화, 애니메이션, 일본드라마 앱을 소개하는 사이트를 공유했다. 

오마이뉴스와 JTBC에서 주장하는 논리라면 이 사람도 같은 인물이다.

https://www.virustotal.com/ko/user/devildevil1004/

<Fig2. JTBC>

기사 내용 : 익명을 요구한 이 전문가는 <오마이뉴스>와 한 통화에서 "앱을 살펴보니 리버싱(소스코드 분석)을 방어하기 위해서 스파이웨어 코드를 철저하게 위장해놨다"며 "스파이웨어 소스코드를 분석한 결과 이 앱이 설치된 스마트폰은 실시간 위치 정보를 특정한 주소로 전송하게 돼 있었다"고 밝혔다. 

또한 그는 "언제든지 누구나 스파이웨어가 숨어 있는 스마트폰으로 실시간 녹음을 할 수 있고 카메라도 주기적으로 찍어서 특정 서버로 전송하게 돼 있다"고 설명했다.

<Fig4.  trace GPS>

<Fig5.  영화천국 1.5.1>

직접 수집한 샘플

파일 이름 : movie-v1.5.1.apk

파일 크기 : 2,785,810 byte

파일 MD5 : e6463c3e4c53addf7daf77e91fbee9c4

AndroidManifest.xml 내용 (PC로 보세요)

안드로이드 보안 아키텍처상 앱에 권한이 설정되지 않으면 관련 데이터를 가져올 수 없다.

GPS관련 데이터를 사용하려면 ACCESS_FINE_LOCATION 가 필수적으로 선언되어야 한다.

http://developer.android.com/reference/android/Manifest.permission.html

<Fig6.  GPS permission>

주장하는 샘플에는 어딜봐도 해당 권한이 없다.

판단은 알아서

EvtxCarv

by Chanung Pak, Jaeman Park, HyeonGyu Jang

EvtxCarv is a tool for fragmented Evtx files forensics.

Supported platforms

• Windows (VS 2010) C++

Usage

Execute EvtxCarv to analyze an image file

EvtxCarv.exe (-r|-c) 'target image path' 'output path'
Options
    --record   (-r)    : Recover by record
    --complete (-c)    : Recover by chunk

Examples of usage

EvtxCarv.exe -c c:\\image.raw c:\\output\\
EvtxCarv.exe -r image.raw output

License

DFRC@KU

Feedback

Please submit feedback via the EvtxCarv tracker

Author: Chanung Pak (kkoha@msn.com)

Download

https://github.com/kkoha/EvtxCarv/