본문 바로가기
악성코드 정보

스마트 청구서로 위장한 안드로이드 악성 앱

by DH, L@@ 2012. 11. 22.

최근 국내 스마트폰 사용자를 타켓으로 제작된 안드로이드 악성 앱이 발견되고 있다.

지난 10월에는 방통위를 사칭한 악성 앱이 발견되기도 했다.

관련 정보는 아래 페이지에서 확인이 가능하다.

http://asec.ahnlab.com/885

 

동일 제작자에 의해 만들어졌을 것으로 추정되는 악성 앱이 추가로 발견되었다.

사용자들의 편의를 위해 각 통신사들은 명세서, 청구서 앱을 제공하는데, 이를 위장하여 유포되는 악성 앱이 발견되었다.

 아래와 같이 단축 URL을 사용하여 유포되고 있었다.

"*** 고객님!

이번달 사용내역입니다

http://tinyurl.com/******* ☜클릭"

 

해당 앱에 대하여 살펴보자.

 

해당 앱을 설치해 확인해보면, 아래와 같이 Google Play 에서 배포되는 정상 앱과 구분이 어렵다.

 

[그림1] 정상 앱의 아이콘(왼쪽)과 악성 앱의 아이콘(오른쪽)

 

퍼미션 정보를 확인해 보면, 정상 앱과 다른 것을 확인할 수 있다.

 

정상 앱의 퍼미션 정보

악성 앱의 퍼미션 정보

-

Your messages

(receive MMS, receive SMS)

Network communication

(full Internet access,

view WI-FI state)

Network communication

(full Internet access,

view network state)

Storage

(modify/delete USB storage contents, modify/delete SD card contents)

Storage

(modify/delete SD card contents)

Phone calls

(read phone state and identity)

Phone calls

(read phone state and identity)

System tools

(retrieve running apps,

change WI-FI state,

Kill background process,

automatically start at boot)

System tools

(prevent phone from sleeping, automatically start at boot)

Your personal information

(read contact data, write contact data)

-

[표 1] 퍼미션 정보

 

앱을 실행하면 아래 그림처럼 오류 메시지를 띄우고 '확인' 버튼을 누르면 앱은 종료가 되지만 사용자들은 일시적인 서버 오류로 생각하고 해당 앱을 지우지 않을 가능성이 크다.

[그림2] 악성 앱 실행 화면

 

실제 앱의 코드를 살펴보자.

 

아래의 코드는 이 앱의 처음 시작 코드이며, 지면 상 위의 변수들까지 보이진 않지만 코드에서 보면 'a' 라는 변수는 Boolean 변수로 값은 true 이다. 이 코드의 의미는 (그림 중간 부분에) if(!a) 조건문에서 알 수 있듯이 항상 거짓으로 else 구문에 있는 메시지 박스를 띄우는 것으로 볼 수 있다. 그러나 이 메시지 박스가 팝업되기 전에 그 위에 코드가 실행되는데, 해당 코드를 보면 Ejifndv 클래스를 브로드 캐스트 하고 미리 정의된 번호로 수신된 SMS 를 수집하여 특정 서버로 전송하는 코드이다.

 

[그림3] 앱의 시작 코드(onCreate)

 

클래스들의 코드를 따라가 보면 아래의 그림과 같고 전송하는 IP의 정보도 알 수 있다.

[그림4] 사용자의 정보를 가져가는 코드

 

위와 같이 사용자 정보를 전송하는 코드 외에도 Ejifndv 클래스에서 또 다른 코드를 확인할 수 있다. 그 코드는 미리 정의된 번호로 수신된 SMS를 홍콩의 특정IP로 전송하며 관련 코드는 아래와 같다.

[그림5] 수신된 SMS의 내용을 전송하는 코드

 

[그림6]  미리 정의된 번호

 

최근 방통위 사칭 앱 뿐만 아니라, 대다수의 사용자들이 이용하는 스마트 청구서라는 앱으로 위장한 것으로 보아 악성코드 제작자들이 국내 사용자들을 타겟으로 하여 유포시키고 있는 것으로 볼 수 있다.

유포방식도 SMS를 이용하여 사용자들이 앱을 설치하도록 유도한다. 이에 사용자들은 Google Play 와 같이 정식으로 등록된 마켓도 주의할 필요가 있으며, 다른 경로로 설치되는 앱은 사용하지 않도록 해야한다.

수시로 V3 mobile 제품으로 점검을 해보는 습관이 필요하다.

 

<V3 제품군의 진단명>

Android-Trojan/Chest

댓글