분석 정보/모바일 분석 정보

[긴급]안드로이드 스마트폰 이용자를 겨냥한 스파이앱 표적공격 증가 [Update #02]

TACHYON & ISARC 2013. 2. 28. 09:44
1. 모바일 암적존재? 안드로이드 보안위협 급증!


잉카인터넷 대응팀은 "(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요" 라는 내용과 악성앱이 설치되는 단축 URL 주소를 포함하여 사용자에게 스마트폰 소액결제사기용 악성앱이 설치되도록 시도한 정황을 추가 포착하였다. 이 내용은 "[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요" 라는 문구로도 유포에 악용되었다. 복지로는 이전에도 "[복지로]복지알림이 모바일어플 설치하시고 실시간 복지정책 체크하세요" 라는 유사한 내용으로 전파된 바 있다. 또한, 소액결제사기용 뿐만 아니라 모바일 디도스(Mobile DDoS)공격용, 이용자의 문자메시지 등을 탈취시도하는 스파이(Spy) 기능용 변종도 지속적으로 발견되고 있어 안드로이드 기반 스마트폰 이용자들의 각별한 주의가 요망된다. 특히, 국내 이용자를 노리고, 사생활침해 우려가 존재하는 새로운 스파이앱 형태의 악성 안드로이드 악성파일은 수신자의 이름을 문자메시지 상에서 거론하는 등 특정 표적자를 직접적으로 지목해서 악성파일을 설치하도록 유도했다는 점에서 공격행태가 매우 과감해지고 있다는 점을 입증하고 있고 있다. 


- 누군가 내 스마트폰을 통해 일거수일투족을 몰래 훔쳐본다?

마지막으로 국내인을 대상으로 한 맞춤형 안드로이드 보안위협이 급속도로 증가하고, 기능적으로도 빠르게 진화하고 있다는 점을 직시하여 스마트 기기를 이용하는 개인과 관련기업들은 다양하고 입체적인 모바일 보안대책을 논의하고 수립해야 할 시기로 보여진다. 

[긴급]국내 스마트폰 이용자의 SMS 등 개인정보 전문 탈취형 스파이앱
http://erteam.nprotect.com/394

[주의]이마트, 피자헛, 롯데시네마, 복지알림이, 알약으로 위장한 악성앱의 본색 드러남
http://erteam.nprotect.com/389

[긴급] 안드로이드전용 모바일 보안업데이트로 위장한 DDoS 악성 앱
http://erteam.nprotect.com/393

[주의]국내 스마트 뱅킹 이용자를 노린 피싱용 안드로이드 악성앱 등장
http://erteam.nprotect.com/378

[SBS 현장 21]'충격' 스마트폰 도청 실태
http://news.sbs.co.kr/section_news/news_read.jsp?news_id=N1001640852

[머니투데이]스마트폰 업데이트하니... "헉 내 메세지가"
http://www.mt.co.kr/view/mtview.php?type=1&no=2013021910515993345&outlink=1

2. 초미의 관심사! 스마트 사기단, 사이버 흥신소 성업 중?

2013년 초중고 교육비 지원 신청 원클릭용 앱설치 문자로 위장한 악성앱은 다음과 같은 형태의 메시지로 전파되었으며, (원클릭) 이라는 문구 대신에 [복지로]라는 문구로 사용된 경우도 발견된 상태이다.

(원클릭) 2013년 초중교 교육비 지원 신청 원클릭 어플로 쉽게 하세요 taoul.es/***


[복지로] 2013년 초중고 교육비지원신청 원클릭어플로 쉽게하세요! http://taourl.es/***


이용자가 단축 URL 주소를 클릭하면 해외의 DropBox 파일 공유 서비스를 통해서 "smartbilling.apk" 라는 악성 안드로이드앱이 다운로드되고, 이용자가 다운로드된 APK 파일을 실행하여 설치하면 사이버 범죄자들에 의해서 최대 30만원 상당의 소액결제 피해를 입을 수 있게 된다. 이렇다보니 사이버 범죄자들은 금전적 이득을 취하기 위해서 소액결제사기용 안드로이드 악성앱의 변종을 끊임없이 양산하여 변칙적인 사이버 범죄 행위을 멈추지 않고 있다.

또한, 사용자의 안드로이드 기반 스마트폰에 수신되는 문자메시지(SMS)를 감시하고, 이용자의 동의 없이 외부로 불법적으로 유출될 수 있는 스파이앱(SpyApp) 형태의 안드로이드 악성파일 변종도 계속 보고되고 있다. 한국인터넷진흥원(KISA)을 통해서 확인된 새로운 종류는 특정인의 이름을 직접적으로 문자에 포함하는 등 표적형 공격형태로 진화하고 있다는 점에서 상황의 심각성을 더해주고 있으며, 잉카인터넷 대응팀은 관련 정보를 추적하던 중 다양한 변종이 추가로 존재하는 것을 발견하여 nProtect Mobile for Android 제품에 긴급 업데이트를 완료한 상태이다.

*** 나야 전화가 안되서 이걸로 나랑 대화해 많이 급하다www.k****protect.com/kids.apk

*** 나야 지금 전화가 안돼 이걸로 하자 급해 www.a****-protect.com/adult.apk

[Update #02 - 2013년 02월 28일]

충격 gril그룹 ♥xxx양♥ 바로보기http://whw***.com

박*성님 데이타사용초과 익월요금합산청구 학인
http://mar****19.net/a.apk

애플리케이션 실행 속도관련 최신 업그레이드가 필요합니다.http://goo.gl/H**w1


상기 이미지와 같이 특정인을 표적화하여 "kids.apk", "adult.apk" 파일을 설치하게 유도하였으며, 이용자의 문자메시지는 외부의 특정 서버로 몰래 유출될 수 있다. 현재는 해당 서버의 접속이 한국인터넷진흥원(KISA)의 신속한 대응으로 차단조치된 상태이기 때문에 정보유출 가능성은 낮다.

그러나 이러한 형태의 스파이앱 변종이 꾸준히 제작되고, 발견되어지고 있다는 점은 안드로이드 보안위협 측면에서 시사하는 바가 크다. 특히, 특정인의 일거수일투족을 실시간으로 엿보거나, 사이버 흥신소라는 비즈니스 모델(?)이 스마트기기의 다양한 취약점을 통해 급격히 증가할 수 있다는 것에 주목해야 한다. 이는 사이버 범죄자들이 음지에서 은밀히 활동하고 점조직으로 수사기관의 추적을 피해 운영되고 있는 고유한 특수성 때문에 활동자체가 외부에 쉽게 노출되지 않을 수 있고 그로인해 예상하지 못할 정도로 다양한 보안위협이 스마트환경을 통해 가속화될 수 있다는 가능성을 열어두고 있다.

잉카인터넷 대응팀이 파악한 바에 의하면 앞서 언급한 스파이앱은 가입제로 운영이 되고 있으며, 변종을 유포했던 이력과 정황을 포착한 상태이다. 해당 서버는 하기와 같이 접근권한을 가진 멤버가 보유하고 있는 계정과 암호를 통해서만 접근할 수 있다.


해당 서버의 내부에는 관리자가 여러가지 설정 및 등록을 할 수 있도록 구성되어 있고, 악성앱에 감염된 이용자의 문자메시지 현황을 모니터링 할 수 있도록 제작되어 있다.


■ "adult.apk" 악성앱 상세 분석정보

"adult.apk" 와 "kids.apk" 파일은 클래스명만 다르고 대부분의 기능은 동일하기 때문에 대표적으로 "adult.apk" 악성앱에 대한 내용만 공개하면 다음과 같다.

a. "adult.apk" 악성 앱은 1개의 서비스(adult_svr)와 1개의 리시버(boot_adult)를 등록하고 있다.

b. 악성 앱이 실행되면 메인 액티비티 상에 특별히 변화되는 내용은 없으며, 최초 화면 그대로 출력된 상태를 유지하게 된다. 또한, 메인 액티비티에서는 내부적으로 등록된 서비스(adult_svr)를 실행하며, 악성앱의 일반적인 생명주기는 이것으로 종료된다.

c. 실행된 서비스(adult_svr)는 감염된 스마트폰의 전화번호를 수집하며 스레드를 생성한다. 생성된 스레드는 특정 DB파일(adultProDb156666.db)을 생성하며, 내부에 두개의 테이블을 생성(Send_Msg, Base_Set)후 정보를 갱신한 다음 갱신된 정보와 수집된 전화번호 정보에 대한 외부 유출 및 추가적인 악성 기능 수행을 위해 외부 특정 사이트에 접속(http://a*****protect.com/app/app_sms.asp)을 시도한다. 다만, 현재는 해당 서버가 차단되어 있어 정상적인 작동을 수행하지는 못한다.


d. 모든 문자메시지(SMS) 정보에 대한 탈취를 위해 일반적인 SMS 목록 쿼리, 단말기 제조사 2곳에 따른 메시지함 접근 및 쿼리(삼성, LG) 등의 방법으로 SMS 관련 정보(발신번호, 본문내용 등)를 수집하여 외부 특정 사이트(http://a*****protect.com/app/app_sms.asp)로 유출을 시도하게 된다.


e. 마지막으로 해당 악성앱에 등록되어 있는 리시버(boot_adult)는 스마트폰이 재부팅되면, 마찬가지로 등록된 서비스(adult_svr)를 재실행해 주는 동작을 하게된다.

3. 안드로이드 악성앱 감염 예방법

소액결제사기형태와 모바일디도스 형태에서 이제는 문자메시지 등 개인정보 탈취기능으로 모바일 보안위협이 확대되어가고 있다. 이용자들은 모바일 보안에 각별히 신경을 쓰고, 의심스러운 문자메시지에 포함된 단축URL 주소는 클릭을 하지 않는 보안습관이 필요해 보인다.

만약 단축URL 주소를 포함한 의심스러운 문자메시지를 수신할 경우 해당 화면을 캡처하여 잉카인터넷 대응팀(erteam@inca.co.kr)으로 첨부해서 신고하면 악성 사기문자 여부를 분석하여 신속하게 결과를 통보해 주고있다.

점차적으로 유포 및 감염에 있어 지능화 되어가는 안드로이드 악성 앱들을 일반 사용자들은 손쉽게 파악하기 힘들 수 있으므로 안전한 스마트폰 사용을 위해서는 아래와 같은 "스마트폰 보안 관리 수칙"을 준수하는 등 사용자 스스로 관심과 주의를 기울이는 것이 최선의 방법이라 할 수 있겠다.

※ 스마트폰 보안 관리 수칙

1. 신뢰할 수 있는 보안 업체에서 제공하는 모바일 백신을 최신 엔진 및 패턴 버전으로 업데이트하여 실시간 보안 감시 기능을 항상 "ON" 상태로 유지해 사용할 수 있도록 한다.

2. 애플리케이션 다운로드 시 항상 여러 사용자를 통해 검증된 애플리케이션을 선별적으로 다운로드 하는 습관을 가질 수 있도록 한다.

3. 문자메시지로 받은 쿠폰이나 이벤트, 특정 프로그램으로 소개하는 단축URL 주소로 악성파일이 배포되는 경우가 많으므로, 추가 애플리케이션이 설치되지 않도록 각별히 주의한다.

4. 다운로드한 애플리케이션은 항상 모바일 백신으로 검사한 후 사용 및 설치 하도록 한다.

5. 스마트폰을 통해 의심스럽거나 알려지지 않은 사이트 방문 또는 QR 코드 이용시 각별히 주의한다.

6. 발신처가 불분명한 MMS 등의 메시지, 이메일 등의 열람을 자제한다.

7. 스마트폰에는 항상 비밀번호 설정을 해두고 사용하도록 한다.

8. 블루투스와 같은 무선 인터페이스는 사용시에만 켜두도록 한다.

9. 중요한 정보 등의 경우 휴대폰에 저장해 두지 않는다.

10. 루팅과 탈옥 등 스마트폰 플랫폼의 임의적 구조 변경을 자제한다.


◆ nProtect Mobile for Android 탐지 진단명

- Trojan/Android.KRSpyBot.A
- Trojan/Android.KRSpyBot.B
- Trojan/Android.KRSpyBot.C
- Trojan/Android.KRSpyBot.D
- Trojan/Android.KRSpyBot.E
- Trojan/Android.KRSpyBot.F
- Trojan/Android.KRSpyBot.G
- Trojan/Android.KRSpyBot.H
- Trojan/Android.KRSpyBot.I
- Trojan/Android.KRSpyBot.J
- Trojan/Android.KRSpyBot.K
- Trojan/Android.KRSpyBot.L 외 변종 계속 추가 중


◈ nProtect Mobile for Android 다운로드 URL
https://play.google.com/store/apps/details?id=com.inca.nprotect&feature=nav_result#?t=W10.