[주의]해외 금융 보안 제품으로 위장한 안드로이드용 악성 파일 발견

1. 개 요

미국의 주요 금융권을 중심으로 서비스되고 있는 "금융 보안 제품으로 위장된 안드로이드용 모바일 악성 파일이 발견" 되어 사용자들의 각별한 주의가 요망되고 있다. SMS 등의 탈취를 목적으로 하는 이번 악성 어플리케이션은 기존의 악성 어플리케이션들과 기능상의 큰 차이는 없지만 해외 금융 보안 솔루션 제품과 유사한 아이콘 및 파일명으로 교묘하게 위장되어 있다는 점이 특징이다. 국내에는 아직까지 유입된 사례가 없는 것으로 파악되고 있지만 이번 글을 통해 해당 악성 어플리케이션에 대해 살펴본 후 혹시 있을지 모를 피해에 미리 대비할 수 있도록 해 보자.

최근들어 nProtect 시큐리티 대응센터/대응팀 보안 관제 중 안드로이드용 악성파일이 지속적으로 발견/입수되고 있어, 앞으로 안드로이드용 보안 강화에 많은 관심과 지속적인 노력이 필요할 것으로 보여진다.

※ 다양한 형태의 안드로이드용 모바일 악성 어플리케이션에 의한 보안 위협

[2중 패키징된 안드로이드용 악성 어플리케이션 등장]
☞ http://erteam.nprotect.com/163

[스마트폰 보안 위협의 증대]
☞ http://erteam.nprotect.com/149

[사용자 정보를 겨냥한 안드로이드 악성 앱 출현]
☞ http://erteam.nprotect.com/123

[새로운 안드로이드용 모바일 Trojan "ADRD" 출현 보고에 따른 주의 필요]
☞ http://erteam.nprotect.com/122

[사용자 정보를 겨냥한 안드로이드용 악성파일 Geinimi 주의]
☞ http://erteam.nprotect.com/98

[스마트폰 GPS 기능은 양날의 칼과 같다]
☞ http://erteam.nprotect.com/25

[안드로이드용 모바일 악성프로그램 FakePlayer 변종 해외 등장!]
☞ http://erteam.nprotect.com/18

※ 위장에 사용된 해외 유명 보안 솔루션 제공 업체

  - http://www.trusteer.com/

 
※ 안드로이드용 금융 보안 제품 서비스로 위장된 내용

a. 아이콘

아래의 그림과 같이 해외 보안 솔루션 업체와 유사한 아이콘을 사용하고 있다.

b. 제품명

아래의 그림과 같이 해외 보안 솔루션 업체의 제품명과 동일한 제품명을 사용하고 있다.

위 그림의 "악성 어플리케이션 사용 제품명" 부분을 살펴보면 영문으로 "bank website" 에 활성화를 위한 키값 입력을 요구 하는 등 지능적인 사기 수법을 사용하고 있다.

2. 유포 경로 및 감염 증상

해당 악성 어플리케이션은 정상 어플리케이션에 악성 기능이 추가된 재패키징 형태는 아니다. 이러한 단독적인 악성 어플리케이션의 경우 안드로이드 마켓 보다는 블랙 마켓이나 3rd party 마켓 등을 통해 유포가 이루질 가능성이 크다.

해당 어플리케이션은 아래와 같은 권한 요구 사항을 가지고 있다.

※ 설치 수행 권한(Permission) 설명

ㄱ. android.permission.RECEIVE_SMS
  - SMS 등의 메시지 수신을 받아오기 위한 권한

ㄴ. android.permission.INTERNET
  - 외부 인터넷 사이트와 통신을 수행하기 위한 권한

ㄷ. android.permission.READ_PHONE_STATE
  - 휴대폰 단말기기 정보 등을 획득하기 위한 권한

설치를 진행하면 위의 설명과 같은 권한 요구 코드를 바탕으로 아래의 그림과 같은 권한 관련 UI를 보여주게 된다.

 

그대로 "설치" 버턴을 클릭하면 아래의 그림과 같은 실행 화면을 볼 수 있다.

 

위 그림에서 모자이크 처리된 부분은 "감염된 휴대폰의 IMEI 값" 이다.

※ 단말기 고유 번호 정보

 - IMEI(International Mobile Equipment Identity) : 단말기 고유 번호
 - IMSI(International Mobile Subscriber Identity) : USIM 고유 번호

아래와 같은 내부 코드를 이용해 위 그림과 같은 IMEI 값을 실행 화면에 출력하고 있다.

또한, 해당 악성 어플리케이션은 내부에 존재하는 아래와 같은 코드를 이용해 SMS, IMEI 값을 탈취하는 기능을 수행한다. 

위 설명과 같이 탈취된 SMS, IMEI 값은 아래의 코드를 통해 특정 사이트로 전송 시도 될 수 있다.

3. 예방 조치 방법

위와 같은 악성 어플리케이션은 유명한 해외 금융 보안 솔루션 제품으로 위장하고 있어 경우에 따라 사용자로 하여금 금전적 손실을 불러올 수 있는 등 충분히 위험성을 갖춘 악성 어플리케이션이라 할 수 있다.

다만, 현재 탈취된 정보를 전송받는 사이트가 차단되어 있어 추가적인 피해는 없겠으나 이와 유사한 악성 어플리케이션은 얼마든지 출현할 수 있다. 때문에 아래와 같은 "모바일 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 안전한 스마트폰 사용을 위한 최선의 방법이라 할 수 있겠다.

※ 모바일 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 어플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 어플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

※ 잉카인터넷(시큐리티대응센터/대응팀)에서는 아래의 그림과 같이 모바일용 백신 "nProtect Mobile for Android" 를 통해 위와 같은 모바일용 악성 어플리케이션(Trojan-Spy/Android.FakeTr.A)에 대한 진단/치료 기능을 제공하고 있으며, 다양한 보안 위협에 대비하기 위해 24시간 지속적인 대응체계를 유지하고 있다.