스테가노그래피 기법을 활용한 악성 앱 분석 보고서
1. 개요
스테가노그래피(Steganography)는 데이터 은닉 기술 중 하나로, 정상 파일 내 숨기고자 하는 데이터를 삽입하는 기술로 주로 윈도우 환경에서 정상 파일에 악성코드를 삽입해 Anti virus(AV) 제품의 탐지를 회피하고, 프로그램 실행 시 은밀하게 동작하는 것을 목표로 한다.
최근에는 악성 앱이 자신의 행위를 은닉하고자 페이로드 다운로드, 패킹 등 다양한 기법을 활용한 사례는 다수 발견되었지만, 이미지 파일 내 DEX 정보를 숨기는 기법은 처음 발견되었다.
본 문서에서는 스테가노그래피 기법이 적용된 이미지 파일과 이미지 출처 정보에 대해 소개하고, 이미지에서 추출한 DEX 파일 분석 정보를 포함한다.
2. Dropper/StegPix 악성 앱 분석
2.1. 샘플정보
분석한 악성 앱의 기본 정보는 다음과 같다.
그림 1. Dropper/StegPix 악성 앱 정보
2.2. 앱 실행 화면
악성 앱 실행 시 이미지 내에서 특정 연산 후 실제 악성행위를 수행하는 DEX를 로드한다.
이번에 발견한 앱의 경우 연산 중 불필요한 과정이 다수 호출해 무한 루프 상태로 빠져 정상적으로 실행이 안된다.
하지만, 일부 코드 내 Gray Scale 등 이미지 전처리 작업 함수를 구현한 것으로 보아 추후 해당 기능을 활용해 DEX를 숨길 것으로 예상된다.
그림 2. 앱 실행 화면
2.3. 분석정보
assets 폴더에 저장된 파일의 경우 PNG 형태의 이미지 파일만 존재하고 이미지 파일을 추출하면 정상적으로 보이는 것을 확인할 수 있다.
그림 3. 앱 내 저장된 이미지 파일
그림 4. 이미지 추출 결과
asset 폴더 내 DEX 정보를 은닉하고 있는 23개의 파일을 읽는다.
그림 5. 숨겨진 DEX 파일 정보가 저장된 PNG 이미지 파일
이미지 파일을 가지고 특정 연산을 거쳐 실제 악성행위에 사용되는 DEX 파일을 추출하고 InMemoryDexClassLoader를 통해 로드한다.
그림 6. 이미지 내 숨겨진 DEX 파일 추출
