본문 바로가기
악성코드 정보

방통위 사칭 안드로이드 악성 앱

by DH, L@@ 2012. 11. 22.

지난 10월, 방송통신위원회를 사칭해 스팸 문자 차단 애플리케이션을 무료로 배포하는 것처럼 위장한 악성 안드로이드 애플리케이션이 발견되었다.

 

확인된 스팸 문자는 아래와 같다.

 

[방통위]통신사합동 스팸문자 차단어플 백신무료 배포 Play 스토어 어플

http://bit.ly/QQyLSs 주소를 클릭해주십시오.

 

해당 링크를 따라가면 구글 Play 스토어로 접속하여 Stech 개발자가 제작한 Spam Blocker 애플리케이션을 다운로드 하는 페이지로 연결된다.

Stech 개발자가 Play 스토어에 등록한 애플리케이션은 "Spam Blocker" 이외에도

"Spam Guard", "Stop Phishing!!" 이 발견되었다.

 

[그림 1] 구글 Play 스토어에 Stech 개발자로 등록된 애플리케이션

 

 

3개의 애플리케이션 모두 스팸 차단 기능은 포함하지 않고 있으며, 설치 시 스마트폰의 정보를 외부로 유출하는 악의적 기능이 포함되어 있다.

 

위 애플리케이션에 대하여 상세히 알아보자.

 

아래 그림은 악성 애플리케이션을 설치한 화면이다.

    

[그림 2] Spam Blocker 아이콘 / 실행 화면

 

해당 애플리케이션의 권한 정보를 살펴보자.

 

[그림 3] 악성 애플리케이션 권한정보

 

 

 

 

아래 그림에서 애플리케이션의 행위를 추정할 수 있는 퍼미션이 3개 모두 동일하다.

 

[그림 4] AndroidManifest.xml 정보

 

Dex 파일의 소스 코드를 확인해보면, 전화번호와 통신망 사업자 정보를 수집하여 특정 서버로 전송하는 코드가 존재한다.

 

[그림 5] 전화번호, 통신망 사업자 정보를 수집하는 코드 중 일부

 

SMSService 클래스에는 아래와 같은 미리 정의된 번호로 수신될 경우, 해당 SMS를 외부서버(50.18.59.8)로 유출하는 코드가 존재한다.

 

애플리케이션에 따라 외부서버의 주소는 각각 다르다.

Spam Guard : 54.243.187.198

Stop phishing : 50.18.59.185

 

[그림 6] 미리 정의된 SMS 수신번호

 

위 3개의 악성 애플리케이션 내부에는 자사의 상징적인 이미지와 통신사(KT, SK), 그리고 골프와 관련된 아이콘이 포함되어 있다. 향후 악성 애플리케이션을 추가 제작하려는 의도가 있을 것으로 추정된다.

[그림 7] 애플리케이션 내부에 포함된 아이콘 이미지 파일

 

 

V3  모바일 제품에서는 아래와 같이 진단이 가능하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

댓글