2014년 12월경부터 최근까지 꾸준하게 발생하고 있는 유무선 공유기 해킹을 통한 Chrome 악성앱 유포 행위가 지속적으로 확인되고 있으며, 블로그에서도 관련 이슈에 대해 정리를 한 적이 있었습니다.

해당 문제는 공유기를 통한 와이파이(Wi-Fi)를 이용한 인터넷 접속 과정에서 스마트폰 또는 PC 환경에서도 동일하게 발생할 수 있으며, 최종적으로는 안드로이드(Android) 스마트폰을 감염시킬 목적의 악성앱의 설치를 유도하고 있습니다.

이같은 유무선 공유기 해킹 공격은 중국(China)에서 제작된 해킹툴을 통해 외부에서 특정 IP 대역에 대한 공유기 사용자를 대상으로 이루어지고 있으며, 특히 보안 취약점 문제를 해결한 펌웨어를 지원하지 못하는 구형 공유기(※ 애니게이트(AnyGate) 공유기 모델명 - XM-3300N, XM-3100N, XM-2100N, XM-1100N, XM-700A, XM-300UA 등)는 보안 설정으로는 해결되지 않으므로 새로운 제품을 재구매해야 하는 문제까지 있는 것으로 보입니다.

대표적인 유포 사례를 확인해보면 사용자가 보안 설정이 제대로 이루어지지 않은 공유기의 와이파이(Wi-Fi) 방식으로 인터넷 접속시 "h**p://125.197.109.115 페이지 내용: 한층 개선된 chrome의 최신버전이 출시되었습니다. 업데이트후 이용해주십시오."라는 메시지 창을 생성하여 확인 버튼을 클릭하도록 유도하고 있습니다.

이를 통해 다운로드된 악성 APK 파일<SHA-1 : cb108fe8abfe42baaec89d832bc41130a5f7d8f5 - AhnLab V3 모바일 : Android-Malicious/Mqt, 알약(ALYac) 모바일 : Trojan.Android.Downloader.KRBanker>은 Chrome 아이콘과 동일하여 사용자는 의심없이 실행할 가능성이 있습니다.

참고로 해당 APK 파일은 ApkProtect로 제작되어 있으며 추가적으로 assets\p.dex 플러그인을 통해 자신을 정체를 숨기고 있습니다.

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.WAKE_LOCK
  • android.permission.INTERNET
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.READ_EXTERNAL_STORAGE
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.READ_PHONE_STATE
  • android.permission.RECEIVE_SMS
  • android.permission.READ_SMS
  • android.permission.WRITE_SMS
  • android.permission.SEND_SMS
  • android.permission.WRITE_SETTINGS
  • android.permission.DISABLE_KEYGUARD
  • android.permission.READ_CONTACTS
  • android.permission.CHANGE_WIFI_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.GET_TASKS
  • android.permission.SYSTEM_ALERT_WINDOW
  • android.permission.RESTART_PACKAGES
  • android.permission.CHANGE_NETWORK_STATE

Chrome 악성앱이 요구하는 권한에서는 SMS 메시지 보내기, 연락처 읽기, 실행 중인 애플리케이션 검색, 부팅시 자동 실행 및 백그라운드를 통한 프로세스 종료 등의 의심스러운 기능이 포함되어 있습니다.

설치가 완료된 상태에서는 정상적인 Chrome 앱과 동일한 아이콘을 생성하는 악성 Chrome 앱이 표시되며, 사용자가 설치된 악성 Chrome 앱을 실행할 경우 바로가기 아이콘은 자동으로 삭제되어 자신의 존재를 숨깁니다.

특히 실행된 Chrome 악성앱은 기기 관리자를 활성화하여 사용자가 설치된 Chrome 악성앱의 제거를 방해하고 있습니다.

GET /profile?hostuin=3158386955 HTTP/1.1
User-Agent: Dalvik/1.6.0 (Linux; U; Android 4.0.4; GT-P3113 Build/IMM76D)
Host: m.qzone.com
Connection: Keep-Alive
Accept-Encoding: gzip

감염된 스마트폰 환경에서는 부팅시마다 com.games.mcdaffdss 프로세스 이름을 가진 Chrome 악성앱이 자동 실행되며, 중국(China)의 특정 QQ 블로그 계정에 접속을 시도합니다.

세부적인 악성 행위는 기종의 "AhnLab V3 Mobile Plus 2.0" 악성앱과 마찬가지로 스마트폰에 설치된 은행앱 실행시 동일한 악성 은행앱으로 바꿔치기를 시도하여 금융 정보 및 공인인증서를 유출하는 기능을 포함하고 있으므로 참고하시기 바랍니다.

또한 감염된 스마트폰에서는 주소록에 저장된 전화번호로 결혼식 등 다양한 스미싱(Smishing) 문자를 대량 발송하여 감염을 유발하고 있으므로 매우 주의할 필요가 있습니다.

감염된 스마트폰에 설치된 Chrome 악성앱을 모바일 백신 또는 사용자가 직접 삭제를 위해서는 반드시 기기 관리자에서 Chrome 앱의 체크를 해제해야 합니다.

그런데 문제는 악성앱이 사용자가 기기 관리자 체크를 해제하지 못하게 방해하는 동작이 있으므로 체크가 반복적으로 해제되지 않는 경우에는 안전 모드로 부팅(※ 스마트폰 기기마다 안전 모드 부팅 방법이 다를 수 있으며, 일반적으로 부팅시 통신사 로고가 표시될 때 소리 줄임(-) 버튼을 4초 이상 누르시면 안전 모드로 연결됩니다.)하여 기기 관리자 체크를 해제하시기 바랍니다.

기기 관리자에서 Chrome 악성앱을 비활성화한 후에는 설치된 애플리케이션 목록에서 Chrome 악성앱을 찾아 삭제하시기 바라며, 기존에 Chrome 앱이 설치된 경우에는 표시 용량이 작은 앱이 악성으로 판단하시면 됩니다.

 

위와 같이 유무선 공유기를 이용하여 스마트폰 또는 PC에서 포털 사이트(네이버(Naver), 다음(Daum), 네이트(Nate), 구글(Google)) 등에 접속할 때 안내창을 생성하여 APK 파일 다운로드를 유도할 경우에는 유무선 공유기의 보안 설정이 제대로 이루어지지 않았기 때문임을 명심하시기 바랍니다.

 

또한 유무선 공유기의 보안 설정 수정을 통해 문제가 해결되었지만 여전히 안내창이 표시될 경우에는 접속하는 애플리케이션의 임시 파일과 쿠키 파일을 모두 삭제한 후 재접속하시기 바랍니다.

 

■ 유무선 공유기 보안 설정 방법

  1. 유무선 공유기 제조사를 방문하여 안내에 따라 공유기의 공장 초기화를 진행하시기 바랍니다.
  2. 사용하는 유무선 공유기 제조사를 방문하여 해당 기종의 최신 펌웨어 파일을 다운로드하여 업데이트하시기 바랍니다.(※ 구형 공유기의 경우 최신 펌웨어 업데이트로 해결되지 않을 수 있습니다.)
  3. 유무선 공유기 환경 설정에 접속하여 2.4GHz, 5GHz 무선 인터넷의 암호화를 "WPA2PSK+AES" 방식으로 설정한 후 비밀번호를 "영문+숫자+특수 문자"로 조합된 12자리 이상으로 설정하시기 바랍니다.
  4. 유무선 공유기 환경 설정 페이지에 접속을 위한 아이디(ID)와 비밀번호(영문+숫자+특수문자 조합)를 반드시 생성하며, 로그인 방식은 캡차(CAPTCHA) 코드 방식으로 변경하시기 바랍니다.
  5. 외부에서 유무선 공유기 환경 설정 페이지에 접근할 수 없도록 "원격 관리 포트" 사용을 해제하시기 바랍니다.
블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..