안드로이드 기반의 스마트폰 사용자의 소액결제 인증번호를 가로채는 '체스트' (Android-Trojan/Chest)로 인한 사용자의 피해가 끊이지 않고 있으며, 변종이 끊임없이 유포되고 있다.
최근 유포되고 있는 악성 앱에 대하여 살펴보고, 추가된 코드는 무엇인지 확인 해 보겠다.
'체스트' 악성 앱은 사용자의 SMS 문자 메시지를 감시하고, 특정번호로 수신된 SMS를 악성코드 제작자에게 전송되도록 설계되었다. 이로 인하여 소액결제 인증번호가 유출되고, 그 인증번호를 이용하여 금전적 이득을 취하고 있다.
그동안 꾸준히 발견되고 있는 '체스트' 악성 앱과 배포 방식은 동일하지만, 소스 코드가 일부 추가/변경되어 유포되고 있다.
악성코드 제작자는 사전에 입수한 정보를 바탕으로 악성 앱 설치 유도 메시지를 수신할 대상자, 즉 타겟을 관리하고 모니터링 하고 있다.
[그림 1] 악성 앱 설치 유도 메시지 발송을 위한 타겟 리스트
타겟이 정해지면, 아래와 같은 문자메시지를 통하여 스마트폰 사용자에게 악성 앱 설치를 유도 한다.
[그림 2] 악성 앱 설치 유도 문자 메시지
단축 URL로 연결하여 앱을 설치하면, 아래와 같은 유명한 커피 전문점 "**** 쿠폰" 아이콘이 생성되며, 서비스에 등록된다.
[그림 3] 악성 앱 설치 화면(좌) / 실행중인 서비스 목록(우)
악성 앱의 권한을 확인함으로써 악성 행위(SMS 를 감시/수집)를 유추할 수 있다.
[그림 4] 악성 앱이 요구하는 권한 정보
악성 앱을 실행하면 아래와 같이 시스템 과부화로 잠시 후 다시 이용할 것을 권하고 있다. 소액결제 인증번호를 수집하기 위한 시간을 벌기 위하여, 즉 일정 시간 동안 악성 앱이 삭제되는 것을 예방하고자 계획된 화면을 보여주는 것이다.
[그림 5] 의도된 오류 메시지 팝업
악성 앱이 실행되면, 아래 코드에 의하여 스마트폰의 전화번호가 악성코드 제작자에게 전송된다.
감염된 스마트폰의 전화번호를 수집함으로써, 소액결제를 위한 인증번호 발송 작업을 진행하게 된다.
[그림 6] 특정번호로 수신된 SMS 감시/수집 코드
위 코드가 실행되면 "mobile=전화번호" 의 형태로 스마트폰의 전화번호가 전송 된다.
이 후, 악성코드 제작자는 아래와 같은 코드를 이용하여 특정번호(송신자)를 포함하는 SMS를 감시하고 있다.
if ((!this.numberchk3.equals("01")) || (this.numberchk1.equals("15")) || (this.numberchk1.equals("16")) || (this.numberchk2.equals("01015")) || (this.numberchk2.equals("01016")) || (this.numberchk3.equals("15")) || (this.numberchk3.equals("16")) || (this.numberchk4.equals("01015")) || (this.numberchk4.equals("01016")) || (this.numberchk1.equals("11")) || (this.numberchk3.equals("11")))
[그림 7] 특정번호로 수신된 SMS 감시/수집 코드
위와 같이 미리 정의된 번호로 발송된 SMS 는 아래와 같은 코드를 이용하여, 스마트폰 전화번호와 함께 특정서버로 전송된다.
[그림 8] 전화번호와 SMS 를 특정서버로 전송하는 코드
위 코드가 실행되면 "mobile=전화번호&revsms=SMS내용" 의 형태로 전화번호와 문자메시지가 전송 된다.
악성코드 제작자는 "대리운전"과 관련된 다량의 SMS 때문에 아래와 같은 코드를 추가한 것으로 보인다.
아래의 코드는 SMS 감시하면서 "대리운전" 메시지가 도착하게 되면 즉시 SMS 감시를 중지하고, 사용자에게 "대리운전" 메시지를 전달한다.
제작자는 더 이상 "앞뒤가 똑같은 대♥리♥운♥전 15**-15** 꼭 불러 주세요"는 받지 않을 것이다.
[그림 9] 대리운전 SMS 필터링
악성 앱에 감염된 사용자의 리스트를 관리하며, 수집한 SMS 에서 "소액결제 인증번호"가 존재하는지 모니터링 하고 있다.
[그림 10] 감염자로부터 전송된 SMS 내역
악성코드 제작자는 이러한 과정을 통하여 금전적 이득을 취하고 있다.
악성 앱에 감염되고, 당일 결제가 이루어지기 때문에 스마트폰 사용자의 각별한 주의가 필요하다.
해당 악성코드는 V3 Mobile 제품을 통해 진단 및 치료가 가능하다.
'악성코드 정보' 카테고리의 다른 글
| 주민번호 체크하는 파밍 사이트 (인터넷 뱅킹 정보 탈취) (1) | 2013.03.18 |
|---|---|
| 안랩, 스마트폰 소액결제 악성코드 변종 급증 경고 (0) | 2013.03.07 |
| V3 Mobile, 글로벌 테스트서 첫 인증 획득 (0) | 2013.02.22 |
| 어도비 리더 CVE-2013-0640 및 CVE-2013-0641 취약점 악용 (0) | 2013.02.18 |
| 문서 편집 프로그램 취약점 악용 악성코드 경고 (0) | 2013.02.15 |
댓글