최근 스미싱(Smishing) 문자를 통해 유포되는 안드로이드(Android) 악성앱 중에서 SMS, 애플리케이션, 발신자 번호를 감시하여 지능형 피싱을 탐지 및 차단하는 피싱가드(Phishing Guard) 앱을 삭제하는 기능이 포함된 부분을 발견하였습니다.
관련 정보는 보안(Security)에 엄청난 열정을 보여주고 계시는 Ec0nomist님을 통해 유포 정보를 제공받아 작성한 내용이므로 참고하시기 바랍니다.
확인되지 않는 스미싱(Smishing) 문자를 통해 "***.ilogenol.org" URL 주소에 접속하면 스마트 택배 페이지로 연결되어 APK 파일을 다운로드하도록 유도하고 있으며, 기존부터 유사한 유포 사례가 지속적으로 발견되고 있습니다.
다운로드된 로젠택배.apk 파일<SHA-1 : 2758955377f6ba503ba30d80553a9327cfbe0191 - AhnLab V3 모바일 : Android-Malicious/Narut>은 분석을 방해할 목적으로 APKProtect 패킹으로 제작되어 있습니다.
- android.permission.MOUNT_UNMOUNT_FILESYSTEMS
- android.permission.WRITE_EXTERNAL_STORAGE
파일을 실행한 로젠택배 애플리케이션 설치가 진행되며 파일 시스템 마운트 및 마운트 해제 권한을 요구하는 점이 특이점입니다.
- 로젠택배 : 서비스(InstallService), 프로세스(com.android,slientinstall)
설치가 완료된 후 로젠택배 바로가기 아이콘이 생성되며 사용자가 앱을 실행할 경우 다음과 같은 동작을 확인할 수 있습니다.
실행된 로젠택배 악성앱은 "슈퍼유저 권한 요청"을 통해 최초 다운로드한 로젠택배.apk 파일 내에 포함된 xxxx.apk 파일을 사용자 몰래 자동으로 설치 시도합니다.
만약 사용자가 로젠택배 애플리케이션에 슈퍼유저 권한을 부여할 경우 "/mnt/sdcard/apks/xxxx.apk" 파일<SHA-1 : 4d905d65195ca32fc846db59bb568f6b770ce7cc - AhnLab V3 모바일 : Android-Malicious/Bankun, 알약(ALYac) 모바일 : Trojan.Android.Downloader.KRBanker>을 생성하여 자동으로 애플리케이션을 설치합니다.
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.MOUNT_UNMOUNT_FILESYSTEMS
- android.permission.READ_SMS
- android.permission.WAKE_LOCK
- android.permission.RECEIVE_SMS
- android.permission.CALL_PHONE
- android.permission.READ_PHONE_STATE
- android.permission.INTERNET
- android.permission.READ_CONTACTS
- android.permission.GET_TASKS
- android.permission.RECORD_AUDIO
- android.permission.PROCESS_INCOMING_CALLS
- android.permission.PROCESS_OUTGOING_CALLS
- android.permission.WRITE_CONTACTS
자동 설치되는 xxxx.apk 파일은 화면 상으로는 전혀 표시되지 않으며, 요구하는 권한을 확인해보면 연락처 및 SMS 메시지에 접근하며 스마트폰을 통해 통화시 오디오가 녹음되어 외부로 유출이 가능할 수 있습니다.
실제 바탕 화면을 확인해보면 슈퍼유저 권한을 가진 로젠택배 악성앱이 사용자 몰래 자동으로 우편번호검색 악성앱을 설치한 것을 확인할 수 있습니다.
- 우편번호검색 : 서비스(MessageService, AndroidSystemServices, Notifications), 프로세스(com.csrm,setteng.raeds.schole)
사용자 몰래 설치된 우편번호검색 악성앱을 실행할 경우 기기 관리자 활성화를 요구하며 이를 통해 사용자가 악성앱 삭제 방해 및 우편번호검색 바로가기 아이콘 삭제를 통해 자신의 존재를 숨깁니다.
이 과정에서 중국(China)에서 서비스하는 특정 QQ 블로그 계정에 접속하여 등록된 C&C IP 서버 정보를 파싱할 수 있으며, 현재는 홍콩(Hong Kong)에 위치한 "103.251.37.190" IP 정보가 확인되고 있습니다.
설치된 우편번호검색 악성앱은 스마트폰에서 실행 중인 애플리케이션 검색을 통해 AhnLab V3 Mobile PLUS 2.0 (com.ahnlab.v3mobileplu), 피싱가드(net.btworks.phishingguard)가 존재할 경우 삭제를 유도하는 메시지 창을 지속적으로 생성하여 보안 기능을 가진 애플리케이션 삭제를 시도합니다.
또한 국내 금융앱 10종<우리은행(com.wooribank.pib.smart), 국민은행(com.kbstar.kbbank), 기업은행(com.ibk.neobanking), 스탠다드차타드은행(com.sc.danb.scbankapp), 신한은행(com.shinhan.sbanking), 하나은행(com.hanabank.ebk.channel.android.hananbank), 농협(nh.smart), 우체국(com.epost.psf.sdsi), 광주은행(com.kftc.kjbsmb), 새마을금고(com.smg.spbs)>에 대한 업데이트 창 생성을 통해 특정 서버에서 apk 파일을 다운로드하여 금융앱으로 위장한 악성앱으로 바꿔치기를 시도할 수 있습니다.
이를 통해 공인인증서 및 금융 정보 탈취, SMS 메시지 훔쳐보기, 전화 통화 엿듣기 또는 음성 녹화 기능 등 민감한 사생활 정보 유출이 발생할 수 있습니다.
■ 악성앱 삭제 방법
이번에 확인된 악성앱의 경우에는 스마트폰 부팅시 자동으로 실행되는 구조가 아니며 사용자가 설치된 악성앱을 정상적인 애플리케이션으로 착각하고 실행시마다 동작하는 방식입니다.
(1) 로젠택배
로젠택배 악성앱은 설치된 애플리케이션 목록에서 "제거" 버튼을 통해 쉽게 삭제할 수 있습니다.
(2) 우편번호검색
우편번호검색 악성앱은 삭제시 제거 버튼이 비활성화되어 있으므로 기기 관리자 메뉴를 실행하여 우편번호검색 앱의 체크를 해제하셔야 합니다.
하지만 우편번호검색 앱이 실행 중일 때에는 체크 해제가 불가능하므로 스마트폰을 재부팅한 후 또는 안전 모드로 부팅하여 체크 해제 후 활성화된 제거 버튼을 클릭하여 삭제하시기 바랍니다.
스미싱(Smishing) 문자를 통해 다운로드된 apk 파일을 사용자가 실행하여 설치하지 않는 한 감염된 것이 아니므로, 설사 가까운 친구 또는 가족 전화번호를 통해 전송된 문자 메시지에 포함된 URL 주소를 통해 apk 파일이 다운로드되는 경우에는 함부로 실행하여 설치하는 일이 없도록 각별히 주의하시기 바랍니다.