최근 국내 스마트폰 사용자를 타켓으로 제작된 안드로이드 악성 앱이 발견되고 있다.
지난 10월에는 방통위를 사칭한 악성 앱이 발견되기도 했다.
관련 정보는 아래 페이지에서 확인이 가능하다.
동일 제작자에 의해 만들어졌을 것으로 추정되는 악성 앱이 추가로 발견되었다.
사용자들의 편의를 위해 각 통신사들은 명세서, 청구서 앱을 제공하는데, 이를 위장하여 유포되는 악성 앱이 발견되었다.
아래와 같이 단축 URL을 사용하여 유포되고 있었다.
|
"*** 고객님! 이번달 사용내역입니다 http://tinyurl.com/******* ☜클릭" |
해당 앱에 대하여 살펴보자.
해당 앱을 설치해 확인해보면, 아래와 같이 Google Play 에서 배포되는 정상 앱과 구분이 어렵다.
[그림1] 정상 앱의 아이콘(왼쪽)과 악성 앱의 아이콘(오른쪽)
퍼미션 정보를 확인해 보면, 정상 앱과 다른 것을 확인할 수 있다.
|
정상 앱의 퍼미션 정보 |
악성 앱의 퍼미션 정보 |
|
- |
Your messages (receive MMS, receive SMS) |
|
Network communication (full Internet access, view WI-FI state) |
Network communication (full Internet access, view network state) |
|
Storage (modify/delete USB storage contents, modify/delete SD card contents) |
Storage (modify/delete SD card contents) |
|
Phone calls (read phone state and identity) |
Phone calls (read phone state and identity) |
|
System tools (retrieve running apps, change WI-FI state, Kill background process, automatically start at boot) |
System tools (prevent phone from sleeping, automatically start at boot) |
|
Your personal information (read contact data, write contact data) |
- |
[표 1] 퍼미션 정보
앱을 실행하면 아래 그림처럼 오류 메시지를 띄우고 '확인' 버튼을 누르면 앱은 종료가 되지만 사용자들은 일시적인 서버 오류로 생각하고 해당 앱을 지우지 않을 가능성이 크다.
[그림2] 악성 앱 실행 화면
실제 앱의 코드를 살펴보자.
아래의 코드는 이 앱의 처음 시작 코드이며, 지면 상 위의 변수들까지 보이진 않지만 코드에서 보면 'a' 라는 변수는 Boolean 변수로 값은 true 이다. 이 코드의 의미는 (그림 중간 부분에) if(!a) 조건문에서 알 수 있듯이 항상 거짓으로 else 구문에 있는 메시지 박스를 띄우는 것으로 볼 수 있다. 그러나 이 메시지 박스가 팝업되기 전에 그 위에 코드가 실행되는데, 해당 코드를 보면 Ejifndv 클래스를 브로드 캐스트 하고 미리 정의된 번호로 수신된 SMS 를 수집하여 특정 서버로 전송하는 코드이다.
[그림3] 앱의 시작 코드(onCreate)
클래스들의 코드를 따라가 보면 아래의 그림과 같고 전송하는 IP의 정보도 알 수 있다.
[그림4] 사용자의 정보를 가져가는 코드
위와 같이 사용자 정보를 전송하는 코드 외에도 Ejifndv 클래스에서 또 다른 코드를 확인할 수 있다. 그 코드는 미리 정의된 번호로 수신된 SMS를 홍콩의 특정IP로 전송하며 관련 코드는 아래와 같다.
[그림5] 수신된 SMS의 내용을 전송하는 코드
[그림6] 미리 정의된 번호
최근 방통위 사칭 앱 뿐만 아니라, 대다수의 사용자들이 이용하는 스마트 청구서라는 앱으로 위장한 것으로 보아 악성코드 제작자들이 국내 사용자들을 타겟으로 하여 유포시키고 있는 것으로 볼 수 있다.
유포방식도 SMS를 이용하여 사용자들이 앱을 설치하도록 유도한다. 이에 사용자들은 Google Play 와 같이 정식으로 등록된 마켓도 주의할 필요가 있으며, 다른 경로로 설치되는 앱은 사용하지 않도록 해야한다.
수시로 V3 mobile 제품으로 점검을 해보는 습관이 필요하다.
<V3 제품군의 진단명>
Android-Trojan/Chest
'악성코드 정보' 카테고리의 다른 글
| ASEC 보안 위협 동향 리포트 2012 Vol.34 발간 (0) | 2012.12.07 |
|---|---|
| 국방 관련 내용의 0-Day 취약점 악용 한글 파일 (0) | 2012.11.26 |
| 방통위 사칭 안드로이드 악성 앱 (0) | 2012.11.22 |
| ASEC 보안 위협 동향 리포트 2012 Vol.33 발간 (1) | 2012.11.07 |
| 해커 그룹 어나니머스를 사칭한 랜섬웨어 발견 (0) | 2012.11.06 |
댓글