분석 정보/모바일 분석 정보

[주의]구글 코리아와 V3 제품으로 변장한 디도스용 모바일 위협

TACHYON & ISARC 2013. 1. 24. 13:16

1. 한국인을 노린 스마트 보안위협 증대


잉카인터넷 대응팀은 마치 "구글 코리아에서 배포하는 안드로이드 전용 모바일 보안 업데이트 내용처럼 조작"된 악성 문자 메시지가 국내 불특정 다수의 스마트폰 이용자들에게 또 다시 유포된 정황을 포착하였다. 해당 문자메시지는 2012년 11월 27일 "구글 코리아 서비스 신규앱 출시 인터넷 향상 업데이트" 문자 메시지로 위장 배포됐던 안드로이드 악성파일(KRFakePK)의 변종으로 파악되었고, 작년부터 최근까지 꾸준히 변종이 유포되고 있는 실정이다. 2012년 12월 12일에는 한국인터넷진흥원(KISA)의 "폰키퍼"로 위장했던 사례도 보고된 바 있으며, 근래들어 구글 코리아 서비스로 사칭한 유사형태가 지속적으로 발견되고 있는 상황이다. 특히, 최근 발견된 악성파일의 경우 안랩(ahnlab)의 스마트뱅킹 보안 서비스인 [V3 Mobile PLUS 2.0] 프로그램처럼 보이도록 조작하는 등 국내 이용자를 노린 한국 맞춤형으로 특별히 제작되고 있다는 점에 주목된다. 더불어 해당 안드로이드 기반 악성파일이 분산서비스거부(DDoS) 공격기능을 기본 탑재하는 등 공격자가 뚜렷한 목적과 의도성을 가지고 있다는 점과 언제든 좀비 스마트폰을 이용한 모바일 DDoS 공격이 현실화될 수 있다는 점에서 시사하는 바가 크다고 할 수 있다.


[긴급]구글 코리아 신규서비스 사칭 DDoS 기능의 악성 안드로이드 앱 증가
http://erteam.nprotect.com/368

[긴급]한국 맞춤형 소액결제 과금형 안드로이드 악성앱 피해 급증
http://erteam.nprotect.com/377

[주의]롯데리아 앱 위장 KRSpammer 변종 출현!
http://erteam.nprotect.com/361

[칼럼]안드로이드 악성앱, 승인문자 갈취 소액결제 사기범죄 피해증가
http://erteam.nprotect.com/363

[긴급]국내 이통사 명세서 앱으로 위장한 악성 안드로이드 앱 2종 등장
http://erteam.nprotect.com/359

[긴급]국내 안드로이드 스마트폰 이용자를 노린 보안위협 현실화
http://erteam.nprotect.com/352

[정보]강남스타일로 위장한 안드로이드 악성 앱 발견 주의!
http://erteam.nprotect.com/348

[주의]안드로이드 기반 악성파일 국내 자료실에서 배포
http://erteam.nprotect.com/239

[안내]안드로이드 악성 앱 자동 탐지 & 분석 시스템 개발
http://erteam.nprotect.com/227

2. 안드로이드 기반 악성파일 유포과정

2012년 10월 경부터 국내 스마트폰 이용자들을 노린 안드로이드 악성파일이 본격적으로 유포돼고 있으며, 2013년 1월에는 국내 안드로이드 스마트폰 이용자들 겨냥한 악성파일이 급증하고 있는 상황이다.

악성파일은 먼저 구글코리아나 국내에서 서비스 중인 "폰키퍼"나 "V3 모바일" 보안프로그램처럼 위장해서 문자메시지와 단축URL 서비스를 이용해서 연속적으로 유포를 시도 중이다.


2013년 01월 23일 발견된 형태는 google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 문자내용과 해외의 단축 URL 서비스를 조합하여 안드로이드 악성파일을 설치하도록 유도하는 문자메시지 형태가 발견되었다. 공격자는  유포 서버의 IP주소가 차단되면 계속해서 새로운 IP주소를 만들어서 악성 APK 파일을 전파시키고 있다.

현재까지 잉카인터넷 대응팀이 확인한 공격자의 서버 IP주소는 다음과 같은데, 거의 동일한 대역폭을 사용하고 있다는 것을 알 수 있다. 

- 103.21.208.160
- 103.21.208.162
- 103.21.208.164
- 103.21.210.215
- 103.21.210.219
- 103.21.210.220

IP 주소는 중국에서 사용하고 있으며, 할당된 IP 대역폭은 다음과 같다.

- 103.21.208.0 ~ 103.21.211.255

공격자는 국내 ISP망에서 접속이 차단되면 지속적으로 IP주소를 변경하여 운영하고 있기 때문에 상기 대역폭 범위에서 지속적인 변종 공격이 진행될 것으로 전망된다. 만약 가능하다면 해당 IP 대역폭을 사전에 감지할 수 있도록 조치하거나 차단할 수 있다면 어느정도 예방도 가능할 수 있을 것으로 보인다. 물론 공격자는 언제든 새로운 공격 서버를 구축할 수 있다.


google 코리아 안드로이드 전용 모바일 보안 업데이트 링크 클릭이라는 내용으로 가장하여 전파된 안드로이드 악성파일은 설치시 다음과 같은 절차를 통해서 사용자 스마트 단말기에 설치가 진행된다.

애플리케이션 설치과정에서는 Google Mobile 제목으로 아래와 같은 권한 내용을 보여준다.

[설치]가 완료되면 다음과 같이 마치 "AhnLab V3 Mobile PLUS 2.0" 제품처럼 조작된 화면을 사용자에게 보여주지만, 실제로는 DDoS 기능을 보유한 악성파일에 감염되게 된다.


악성파일은 중국 DNS 소재(ns14.dns.com.cn) gzqtmtsnidcdwxoborizslk.com (TCP Port 2700-2799) 사이트로 접속을 시도하며, 스마트폰에 수신되는 문자메시지(SMS)를 감시하게 되며, 문자메시지 명령어에 따라 DDoS 기능을 수행할 수 있게 된다.

- #m : 해당 문자열로 시작할 시 특정 번호로 SMS 무단 발송

- #b : 시간 확인 및 변수 할당

- #u : 특정 사이트를 공격 목표로 DDoS 기능 수행

- #e : 스레드 실행 여부 확인 및 지연

- #t : 감염된 스마트폰의 전화번호 확인



http://www.gzqtmtsnidcdwxoborizslk.com/ 사이트는 현재 국내에서 접속이 가능하기 때문에 공격자의 명령에 따라 DDoS 공격기능이 활성화될 수 있을 것으로 우려되어, 한국인터넷진흥원(KISA)에 해당 도메인 접속 차단을 요청하였다.


3. 대응방법

대부분의 악성 애플리케이션은 사용자들이 육안상으로 악성 동작을 확인하기 어려우며, 손쉽게 유포하기 위해 제작자들은 정상적인 애플리케이션으로 위장하게 된다. 또한, 내부에 특정 오류 출력 구문 등을 삽입하여 마치 정상적인 애플리케이션이 오동작을 일으킨것 처럼 위장하고 있는 경우도 있어 일반 사용자들은 이부분에 쉽게 현혹될 수 있다.

점차적으로 유포 및 감염에 있어 지능화 되어 가는 악성 애플리케이션들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.

※ 잉카인터넷(대응팀)에서는 위와 같은 악성 애플리케이션에 대해 아래와 같이 진단/치료 기능을 제공하고 있으며, 보안 위협에 대비하여 24시간 지속적인 대응체계 가동 및 "nProtect Mobile for Android" 를 통해 다양한 모바일 보안 위협에 대응하고 있다.

◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRFakePK.A
- Trojan/Android.KRFakePK.B
- Trojan/Android.KRFakePK.C
- Trojan/Android.KRFakePK.D
- Trojan/Android.KRFakePK.E
- Trojan/Android.FakeV3.B
- Trojan/Android.FakeV3.C

◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.