[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장

1. 국내 이용자를 노린 안드로이드 악성앱 증가

지난 2012년 10월 26일 국내 안드로이드 사용자들을 대상으로 방송통신위원회 등을 사칭한 악성 애플리케이션이 발견되어 큰 이슈가 된 바있다. 국내 안드로이드 사용자들도 더 이상 악성 안드로이드 애플리케이션으로부터 안전할 수 없다는 이슈가 환기되기도 전에 이번에는 유사한 악성 애플리케이션의 변종 2종이 발견되어 국내 이용자들의 각별한 주의가 요망되고 있다. 해당 악성 애플리케이션은 문자메시지(SMS) 등을 통해서 은밀히 유포가 이루어졌으며, 국내 이동통신사의 명세서 확인 애플리케이션으로 위장하고 있기 때문에 사용자들이 쉽게 현혹될 수 있다.

---

 

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
☞ http://erteam.nprotect.com/389

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
☞ http://erteam.nprotect.com/352

2. 유포 경로 및 감염 증상

해당 악성 애플리케이션은 구글 정식 마켓이나, 비공식 마켓 등이 아닌 SMS를 통해 유포가 이루어 졌으며, 아래의 그림과 같이 도착한 문자메시지에서 "단축주소로 이루어진 링크를 클릭시" 다운로드 및 설치가 가능하다.

 

다만, 현재는 악성 애플리케이션에 대한 다운로드 단축 URL이 아래의 그림과 같이 막혀있어 유포가 이루어지고 있지 않다.(해외 파일 자료실을 이용하여 유포를 시도하였다.)

※ 실제 악성 애플리케이션 다운로드 URL

- https://dl.dropbox.com/s/emcu5mugsx5yn01/SmartBilling.apk?dl=1

또한, 아래의 그림과 같이 현재 해당 악성 애플리케이션의 유포와 관련해 특정 포털 카페 사이트 등을 통해 정보가 공유되고 있기도 하다.

 

해당 악성 애플리케이션은 국내 이통사의 명세서 확인 애플리케이션으로 위장하고 있어 사용자들이 별다른 의심없이 다운로드 및 설치/실행을 진행할 수 있으며, 실행 시 동작되는 전체적인 악성 기능은 아래와 같다.

※ 전체 악성 동작

- 감염된 스마트폰의 전화번호 수집
- 감염된 스마트폰의 통신망사업자 정보 수집
- 감염된 스마트폰의 IMEI 정보 수집
- 수집된 스마트폰 정보의 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 감염된 스마트폰으로 수집되는 SMS 감시
- 특정번호로 수신되는 SMS에 대한 외부 유출 시도 (변종마다 수집 정보 유포지 URL이 상이)
- 특정번호로 수신되는 SMS를 사용자 몰래 삭제

◆ 설치 정보

해당 악성 애플리케이션을 설치하게 되면 아래의 그림과 같이 특정 권한을 요구하게 된다.

아래의 그림은 AndroidManifest.xml에 등록된 전체 권한이다.

해당 악성 애플리케이션은 아래의 그림과 같이 정상적인 국내 이통사의 명세서 확인 애플리케이션과 유사한 아이콘을 사용하고 있다.

설치가 모두 완료된 후 실행하게 되면, 해당 악성 애플리케이션은 아래의 그림과 같이 "서버 접속 불가"와 관련된 다이얼로그를 출력하게 되며, 육안상 확인할 수 있는 별다른 동작은 발생하지 않는다.

◆ 분석 정보

해당 악성 애플리케이션은 아래의 AndroidManifest 일부코드와 같이 내부에 3개의 리시버가 등록되어 있다.

 

 

※ 세부 설명

- 붉은색 박스 : 등록된 3가지의 리시버 클래스
- 초록색 박스 : 해당 리시버의 우선 순위를 높이기 위한 설정 (BINARY_INTEGER 최대값)

※ 리시버 세부 동작 설명

- Ejifndv : 감염된 폰의 전화번호, 통신사업자 정보, IMEI 수집 및 유출 스래드 실행 (변종마다 수집 정보 유포지 URL 상이)
- OEWRUvcz : 감염된 폰의 재부팅 시 해당 악성 애플리케이션 실행
- CVXAW : SMS, MMS 수신 이벤트 감시, 수집 및 유출 (변종마다 수집 정보 유포지 URL 상이)

악성파일 내부에는 다음과 같은 아이콘 리소스들이 포함되어 있고, 이전에 발견되었던 변종들과 동일한 안랩(Ahnlab) 위장 아이콘이 포함되어 있다.

해당 악성 애플리케이션은 실행 시 아래의 일부 코드를 통해 "서버 접속 불가"와 관련한 다이얼로그를 출력하게 된다. 이때 다이얼로그 출력 전에 AndroidManifest에 등록된 리시버 "Ejifndv"를 호출하게 된다.

※ 참고 사항

위 일부 코드에 선언되어 있는 WifiManager, PowerManager 부분은 각각 Wifi상태 및 화면 활성화 상태 유지를 위한 wakeLock 등록 코드이며, 해제하고 있지 않아 불필요한 다량의 배터리 소모 현상이 발생할 수 있다.

"Ejifndv" 리시버는 아래의 일부 코드를 통해 감염된 스마트폰의 전화번호(첫번째 0을 대한민국 국가번호인 +82로 변환), 통신망사업자 정보, IMEI 정보를 수집 및 유출할 수 있는 스래드를 실행하게 된다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 

위 부분까지가 해당 악성 애플리케이션을 실행함으로써 첫번째로 발생할 수 있는 악성 동작이며, 이후에는 AndroidManifest에 등록된 리시버의 특정 조건을 충족할 시 추가적인 악성 동작을 수행할 수 있다.

먼저, "OEWRUvcz" 리시버를 살펴보면 아래와 같은 일부 코드를 통해 스마트폰의 재부팅 이벤트를 감시하고 재부팅이 완료될 경우 해당 악성 애플리케이션을 재실행하도록 되어 있다.

마지막 남은 "CVXAW" 리시버는 아래와 같은 일부 코드를 통해 수신되는 SMS, MMS에 대한 감시 및 수집 기능을 수행하게 된다.

이때, SMS 및 MMS에 대한 감시는 내부에 선언되어 있는 특정 번호가 발신번호와 일치할 경우 수행하게 된다.

※ SMS, MMS 감시를 위해 내부에 선언되어 있는 특정 전화번호 목록

- 15880184, 16000523, 15990110, 15663355, 15665701, 15880184, 15990110, 15665701, 16001705, 15663357, 16000523, 15663355, 019114, 15997474, 15663357, 15991552, 16008870, 15883810, 16443333, 15448881, 15445553, 16443333, 16008870, 15663355, 15883810, 16001705, 16000523, 16441006, 15771006, 15663357, 0190001813, 15660020, 16001522, 15885188, 15883610, 15885984, 15885412, 16449999, 15992583, 15885180

☞ 해당 전화번호들은 휴대폰 소액결제 전문업체, 인터넷 쇼핑몰 등의 번호로 사용자에게 수신된 결제 내역이나 중요정보 등이 무단유출되는 피해를 입을 수 있다.

위와 같이 내부에 등록된 특정 발신번호와 일치하는 SMS, MMS는 아래의 일부 코드를 통해 외부 특정 서버로 유출 시도될 수 있으며, 해당 SMS, MMS는 사용자 몰래 삭제되어 사용자는 수신여부를 확인할 수 없도록 되어 있다.(현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

 

위와 같이 외부로 유출되는 모든 수집 정보들은 외부 특정 IP로 전송되며, 아래의 그림과 같은 지역에 위치하고 있는 것으로 파악되었다. (현재까지 발견된 2종의 변종은 모두 수집 정보 유포지 URL이 상이하다는 특징이 있다.)

※ 수집된 정보가 유출되는 외부 URL

- 59.188.145.193 (홍콩)
- 112.213.119.232 (홍콩)

 

3. 예방 조치 방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ 진단 통계

- Trojan/Android.KRSpammer.D
- Trojan/Android.KRSpammer.E 

◈ nProtect Mobile for Android 다운로드 URL
☞ https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.