분석 정보/모바일 분석 정보

[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가 (Update #04)

TACHYON & ISARC 2013. 1. 23. 17:55

1. 디도스 공격 기능을 탑재한 안드로이드 악성앱

잉카인터넷 대응팀은 구글(Google) 코리아의 신규 검색엔진 서비스내용으로 사칭한 안드로이드 악성앱 변형 2종을 긴급 입수하였다. 이 악성앱은 2012년 12월 12일 한국인터넷진흥원(KISA)에서 주의보를 발령한 폰키퍼 보안앱 사칭 안드로이드 악성앱의 변종으로 파악된 상태이다. 해당 안드로이드 악성앱들은 국내 이용자들을 정조준하여 제작되었다는 점에서 심각한 보안위협으로 우려가 되고 있는 상황이다.

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협
http://erteam.nprotect.com/382

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[단독]통신비 환급금 조회로 위장한 안드로이드 악성파일 국내 전파
http://erteam.nprotect.com/361

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

2. 유포 방식 및 악성 애플리케이션 정보

악성 안드로이드 앱은 한글문구와 함께 구글 단축URL 서비스를 통해서 불특정 다수에게 배포된 것으로 추정된다. 이 공격방식은 국내 이용자들을 직접적으로 겨냥해서 배포했다는 점에서 매우 의도적인 공격형태로 분류할 수 있다.

다음은 국내 스마트폰 이용자들에게 배포된 실제 악성 안드로이드 앱 설치 유도 문자메시지 내용이다. 마치 구글 코리아에서 배포한 신규앱처럼 위장하고 있다. 해당 안드로이드 악성파일들에 대한 자세한 정보는 한국인터넷진흥원에 신속하게 공유된 상태이다.

google코리아 서비스 신규앱 출시 인터넷향상 업데이트 http://goo.gl/생략

google코리아 서비스 신규앱출시 안드로이드 검색엔진 업데이트
http://goo.gl/생략


2012년 01월 08일 새로운 변종이 추가 발견되었다.

google코리아 서비스 안드로이드용
검색엔진 업데이트 링크클릭 http://goo.gl/98(생략)G

2013년 01월 14일 새로운 변종이 추가 발견되었다.

(생략)google코리아 서비스 신규앱출시
인터넷향상 업데이트 http://goo.gl/o(생략)bP


2013년 01월 23일 새로운 변종이 추가 발견되었다.

이번에는 구글 코리아 안드로이드전용 모바일보안 업데이트 라는 내용으로 위장하였다.

google코리아 안드로이드전용 모바일보안 업데이트 링크클릭 http://taourl.es/(생략)

단축 URL 주소는 2가지 형태가 보고되었다. 나머지 단축 URL 주소도 실제 다운로드 시도되는 appv3.8.apk 는 동일하다.

http://goo.gl/(생략)


이번에 유포된 악성파일은 Google Mobile 이라는 이름으로 설치가 진행되며, 설치 후에는 안랩 V3 Mobile PLUS 2.0 제품처럼 위장하고 있다.


해당 구글 단축URL 서비스를 클릭하게 되면 해외의 특정 웹 사이트로 연결되고, 악성 안드로이드 앱이 설치된다.

해당 내용은 2012년 12월 10일부터 구글코리아 트위터를 통해서도 주의 안내가 제공되고 있다.


2012년 12월 12일에는 한국인터넷진흥원을 통해서 폰키퍼 사칭 악성앱 변종도 추가로 발견된 상태이다.

개인정보유출방지 안전한 스마트폰 지킴이 "폰키퍼" http://goo.gl/e3I3m

[한국인터넷진흥원]KISA 사칭 '가짜 폰키퍼' 설치 유도 문자 주의
http://www.kisa.or.kr/notice/pressView.jsp?mode=view&p_No=8&b_No=8&d_No=969

◈ 악성 애플리케이션 정보

해당 악성 애플리케이션은 KISA에서 배포중인 폰키퍼 애플리케이션에 특정 악성 코드를 포함하여 재패키징한 형태이며, 설치 시 아래의 그림과 같이 정상과 악성 애플리케이션간 권한 요구 사항에 차이가 있다.

 

자세히 살펴보면 악성 기능 수행을 위해 SMS와 관련된 권한이 두가지 추가되어 있는 정황을 확인할 수 있다.

※ 악성 애플리케이션에 추가된 권한

- andorid.permission.RECEIVE_SMS
- android.permission.SEND_SMS


또한, 해당 악성 애플리케이션은 정상 애플리케이션에 아래의 그림과 같이 한개의 추가적인 악성 패키지가 추가되어 있음이 확인되었다.


해당 악성 애플리케이션은 정상 애플리케이션에 제작자가 원하는 악의적인 패키지를 추가한 재패키징 형태이기 때문에 전체적인 기능과 실행 화면 등에서 정상 애플리케이션과의 차이점을 찾기에는 무리가 있을 수 있으며, 재패키징 결과 수행 가능한 전체적인 악성 기능은 아래과 같다.

※ 전체 악성 기능

- 수신되는 SMS에 대한 감시
- SMS 수집
- 특정 번호로 SMS 무단 발송
- Bot 기능 수행
- DDoS 공격 수행


전체 적인 악성 기능은 위와 같다. 해당 악성 애플리케이션과 같이 재패키징 형태의 경우 리시버 등록을 통한 추가적인 악성 기능 동작 행위가 대부분이다. 해당 악성 애플리케이션의 경우도 마찬가지로 아래와 같이 악성 리시버 및 서비스가 추가 등록되어 있다.

※ 추가 등록된 리시버 및 서비스

[리시버]
- SMSReceiver(SMS 수신시)
- MyReSt(부팅 완료 시, SMS 수신시, 연결상태 변경 시, 새로운 전화 수신 시 등)

[서비스]
- Myservice(스레드 실행)


전체적으로 보면, SMS 감시와 무단적인 SMS 발송은 기존의 악성 애플리케이션과 차별성이 없으나, 해당 악성 애플리케이션의 경우 DDoS 기능 수행, 이를 위한 Bot기능 수행(수신된 SMS의 감시 및 비교 작업 등 포함) 등이 주목할만하다고 할 수 있다.

일단, 해당 악성 애플리케이션은 DDoS 기능 수행을 위해 특정 명령 문자가 포함된 SMS에 대한 감시 및 수신이 필요하며, 모든 SMS의 수신 시 시간에 대한 계산 등 연산을 통해 해당 악성 기능 동작(SMS 수집)에 대한 여부를 결정하게 된다. 조건이 모두 충족되면, 악성 애플리케이션은 조건에 해당하는 SMS를 모두 수집하는 등의 악성 동작을 수행하며, 아래와 같이 특정 명령 문자로 SMS가 시작되는 경우 그에 따른 추가적인 악성 동작을 수행하게 된다.

※ 명령 문자별 수행 기능

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송
- #b : 시간 확인 및 변수 할당
- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행
- #e : 스레드 실행 여부 확인 및 지연
- #t : 감염된 스마트폰의 전화번호 확인

 


위에서 주목할만한 특징은 특정 사이트를 공격 시도하는 DDoS 기능의 수행이다. 해당 기능은 여지껏 모바일 상에서 실제적으로 구체적인 사례나 악성 애플리케이션을 찾아보기 어려웠다. 아래의 코드는 해당 악성 애플리케이션의 실제 DDoS 공격 수행 코드중 일부이다.


위 코드에는 상세하게 포함되지 않았지만, 해당 악성 애플리케이션은 공격자로부터 특정 명령(DDoS 수행 명령 등) 및 공격 타깃 URL이 포함된 SMS를 수신받아 DDoS 공격을 수행하는 것으로 확인되고 있다.

3. 마무리

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

4. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

5. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

6. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

7. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

8. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

9. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRFakePK.A
- Trojan/Android.KRFakePK.B
- Trojan/Android.KRFakePK.C
- Trojan/Android.KRFakePK.D
- Trojan/Android.KRFakePK.E

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.