최근 스미싱(Smishing) 문자를 이용한 안드로이드(Android) 악성앱 유포에 me2.do 단축 URL 주소를 활발하게 사용하고 있으며, 특히 파일 다운로드 이전 단계에서 통신사, 휴대폰 번호, 주민등록번호를 추가적으로 수집하는 형태가 지속적으로 발견되고 있습니다.

 

이번에 살펴볼 유포 사례는 택배 반송 처리, 민사소송 접수 등과 관련된 문구가 포함된 "○○○ 확인바랍니다.me2.do/FRpaox**" 패턴으로 수신되는 스미싱(Smishing) 문자를 통해 분석해 보도록 하겠습니다.(※ 해당 분석 내용은 2014년 10월 14일 기준으로 작성되었으며, 관련 유포 URL 주소는 글을 작성하는 현재까지 유효한 공격이 이루어지고 있는 상태입니다.)

특히 서울지방경찰청에서 발송한 것처럼 위장한 스미싱(Smishing) 문자가 발견되고 있다는 공지가 있으므로 속지 않도록 각별히 주의하시기 바랍니다.

스미싱(Smishing) 문자에 포함된 me2.do 단축 URL 주소를 클릭할 경우 "GET IT ON Google play", "AVAILABLE ON THE App Store" 바로가기 버튼이 존재하는 특정 웹 사이트로 연결이 이루어집니다.

 

바로가기 버튼에서는 안드로이드(Android), 아이폰(iPhone)으로 분류되어 있지만 실제 아이폰(iPhone) 환경을 표적으로 한 악성앱은 존재하지 않으며, 양쪽 모두 다음과 같은 웹 사이트로 연결이 이루어집니다.

연결된 페이지에서는 가입 통신사, 휴대폰 번호, 주민번호를 입력한 후 "서류접수확인" 버튼을 클릭하도록 유도하고 있습니다.

해당 양식에 개인정보를 입력한 후 확인 버튼을 클릭할 경우 공격자 서버에 정보가 전송되어 수집이 이루어지고 있으며 이후 자동으로 특정 웹 서버로 연결이 이루어집니다.

  • h**p://dsa***.x24hr.com/4357809sgdjk3o0sdfSDFGWEsdfgADS/reuio345890sdg.apk (SHA-1 : c767f1e6d02488b6221cddc7e272624bae1080fd) - AhnLab V3 모바일 : Android-Malicious/Bankun

연결된 웹 서버에서는 자동으로 APK 악성앱 설치 파일이 다운로드 되며, 사용자가 다운로드된 파일을 실행할 경우 다음과 같은 방식으로 설치가 진행됩니다.

  • android.permission.ACCESS_WIFI_STATE
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.WAKE_LOCK
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_PHONE_STATE
  • android.permission.SEND_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.MODIFY_PHONE_STATE
  • android.permission.CALL_PHONE
  • android.permission.WRITE_CONTACTS
  • com.android.launcher.permission.INSTALL_SHORTCUT
  • com.android.launcher.permission.UNINSTALL_SHORTCUT
  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.RESTART_PACKAGES
  • android.permission.GET_TASKS
  • android.permission.KILL_BACKGROUND_PROCESSES
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.READ_LOGS
  • android.permission.VIBRATE
  • android.permission.MODIFY_AUDIO_SETTINGS
  • android.permission.INTERNET
  • android.permission.ACCESS_NETWORK_STATE

설치되는 "Android." 악성앱은 연락처 및 SMS 문자 메시지 정보 확인, 바로가기 아이콘 설치/삭제, 실행 중인 애플리케이션 검색, 백그라운드 프로세스 종료, 시스템 경고창 생성 등 다양한 동작을 수행할 수 있는 권한을 가지고 있습니다.

설치가 이루어진 후 바탕 화면에는 "Android." 바로가기 아이콘이 생성되며 사용자가 악성앱을 실행할 경우 바로가기 아이콘은 자동 삭제 처리되어 백그라운드 방식으로 지속적으로 동작합니다.

"Android." 악성앱 실행시 "Naver Android App." 이름으로 화면 잠금 기능을 제어하기 위해 기기 관리자 활성화를 요구하고 있습니다.

악성앱이 정상적으로 설치가 이루어진 상태에서는 홍콩(Hong Kong)에 위치한 "113.10.137.8" C&C 서버와 통신하여 연락처 정보를 비롯한 "/mnt/sdcard/NPKI" 폴더에 저장된 공인인증서 파일이 자동으로 외부로 유출될 수 있습니다.

또한 감염된 스마트폰에 설치된 애플리케이션을 검색하여 모바일 뱅킹에 사용되는 특정 금융앱이 설치되어 있는 경우 "새로운 업데이트가 있습니다", "최신버전으로 보안강화 하시기 바랍니다", "새로운 업데이트가 있습니다. 보다 더 안전한 스마트뱅킹을 사용하기 위하여 최신버전을 다운받으시기 바랍니다."와 같은 메시지 창이 생성되어 추가적인 악성앱 다운로드를 유도할 수 있습니다.

해당 악성앱의 경우에는 NH 스마트뱅킹(nh.smart), 신한S뱅크 - 신한은행 스마트폰뱅킹(com.shinhan.sbanking), 하나N Bank - 하나은행 스마트폰뱅킹(com.hanabank.ebk.channel.android.hananbank), 우리은행 원터치개인뱅킹(com.webcash.wooribank) 4종의 금융앱을 체크하여 다음과 같은 추가적인 악성앱 다운로드가 이루어질 수 있습니다.

  • KR_NHBank.apk (SHA-1 : 7333df0095e4ed1a84dee9edce3740f0e1b74336) - AhnLab V3 모바일 : Android-Malicious/SMSstealer
  • KR_SHBank.apk (SHA-1 : e964cb9064baae153d9c8bcd2ffa463cdd4db9a3) - AhnLab V3 모바일 : Android-Malicious/SMSstealer
  • KR_HNBank.apk (SHA-1 : 974be9c941121b34fab3d89b78f27445aa2334fa) - AhnLab V3 모바일 : Android-Malicious/Bankun
  • KR_WRBank.apk (SHA-1 : 9860d33cb8a59612c7059192680626f4b9bb1715) - AhnLab V3 모바일 : Android-Malicious/SMSstealer

그 중에서 테스트에서는 우리은행 모바일 뱅킹앱이 설치된 경우를 가정하여 살펴보도록 하겠습니다.

KR_WRBank.apk

추가로 다운로드된 가짜 우리은행 악성앱 "원터치개인"을 설치시 하드웨어 제어 기능 및 시스템 경고 표시 권한이 포함되어 있습니다.

실제 감염된 상태에서는 정상적인 우리은행 금융앱은 삭제 처리됩니다.

가짜 우리은행 악성앱이 설치된 경우 정상적인 우리은행 금융앱(원터치개인)과 비교를 위해 함께 설치된 모습을 살펴보면 애플리케이션 이름은 동일하지만 바로가기 아이콘 모양은 다를 수 있는 것을 알 수 있습니다. 하지만 단순히 애플리케이션 이름과 아이콘 모양으로는 악성 여부를 판단하기는 불가능합니다.

가짜 우리은행 악성앱을 실행할 경우 실제 동작(존재)하지 않는 AhnLab V3 Mobile Plus 2.0 보안앱이 실행되는 것처럼 화면을 구성하여 사용자 눈을 속이고 있습니다.

다음 화면에서는 공지 사항을 생성하여 "금융감독당국 정책에 의거 전 금융기관(은행,증권,보험,저축은행)이 공동 시행하는 전자금융사기 예방서비스 전면시행(의무화)을 아래와 같이 안내하오니,사전에 연락처 정비 및 서비스 가입을 부탁드립니다.연락처 정비 및 서비스를 미가입한 경우 본인확인절차 강화대상금융거래가 중단될 수 있습니다."라는 문구를 통해 개인 정보 및 금융 정보를 양식에 따라 작성하여도록 유도합니다.

다음 단계에서는 공인인증서 추가를 통해 제시되는 양식에 따라 계좌 정보 및 비밀번호, 보안 카드 전체를 입력하도록 제작된 악성앱을 통해 정보를 수집하여 금융 피해를 유발할 수 있습니다.

 

그러므로 스미싱(Smishing) 문자를 통해 설치된 악성앱을 1차적으로 삭제하여 추가적인 악성앱 다운로드를 예방하시기 바라며, 모바일 뱅킹을 위해 사용하는 금융앱이 악성앱으로 변경되었을 수 있으므로 함께 제거를 하시기 바랍니다.

 

1. "Android." 악성앱 삭제 방법

최초 설치된 "Android." 악성앱은 기기 관리자에 등록되어 삭제 버튼이 비활성화 되어 있으므로 기기 관리자에 등록된 "Android." 체크 박스를 해제한 후 설치된 애플리케이션 목록에서 삭제를 진행하시기 바랍니다.

 

2. 우리은행 악성앱(원터치개인) 삭제 방법

"Android." 악성앱을 통해 추가로 다운로드된 우리은행 악성앱은 정상적인 애플리케이션과 이름이 동일하며 버전 정보만 다를 수 있습니다. 그러므로 스미싱(Smishing) 문자를 통해 악성앱에 감염된 사용자는 설치된 금융앱 실행시 기존과 다른 동작이 있는 경우 모두 삭제를 하시는 것이 가장 안전합니다.

 

■ 스미싱(Smishing) 문자를 통한 악성앱 감염자의 권장 조치 사항

  1. 모바일 백신을 이용하여 숨어있는 악성앱 감염 여부를 정밀 검사를 통해 확인하시기 바랍니다.
  2. 감염된 스마트폰을 이용하여 스미싱(Smishing) 문자가 전송될 수 있으므로 연락처에 등록된 사람들에게 발송된 문자에 포함된 URL 주소를 클릭하지 않도록 연락하시기 바랍니다.
  3. 스마트폰에 공인인증서가 저장되어 있는 경우에는 폐기 후 재발급 받으시기 바랍니다.
  4. 스마트폰을 이용하여 온라인 결제 및 금융 거래를 이용한 경우에는 계좌 비밀번호를 반드시 변경하시기 바랍니다.

마지막으로 안드로이드(Android) 스마트폰 사용자를 대상으로 한 스미싱(Smishing) 문자를 이용한 악성앱 유포는 지속적이고 다양한 문구로 이루어지기 때문에 문자를 통해 APK 파일 다운로드 및 설치를 유도하는 경우에는 무조건 의심하시기 바라며, 지속적으로 악성앱으로 피해를 당하는 사용자들은 아이폰(iPhone)으로 기기를 변경하시길 권장합니다.

신고
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..