2015년 9월에 발생한 뽐뿌 해킹 사고와 맞물러서 이슈가 되었던 스마트폰을 이용하여 웹 사이트 접속시 자동으로 hotvideo APK 파일이 다운로드되어 PronClub 악성앱을 통해 다양한 애플리케이션 설치를 유도하는 문제에 대해 소개한 적이 있었습니다.
그런데 2015년 11월 20일경 당시와 매우 유사한 유포 방식으로 웹 사이트 접속시 자동으로 APK 파일 다운로드를 통해 설치를 유도하는 행위가 있었기에 살펴보도록 하겠습니다.
- PolyVideo_main_main_2949_new.apk (SHA-1 : a975cca4010a592c4c450b16f564a7eb38e421ae) - AhnLab V3 Mobile : Android-PUP/Hidap.ffb5
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.GET_TASKS
- android.permission.INTERNET
- android.permission.READ_PHONE_STATE
- android.permission.ACCESS_NETWORK_STATE
- android.permission.GET_ACCOUNTS
- com.android.launcher.permission.INSTALL_SHORTCUT
- com.android.launcher.permission.UNINSTALL_SHORTCUT
다운로드된 PolyVideo APK 파일을 실행할 경우 "com.google.view.main" 악성앱(com.main.haha) 설치가 진행되며, 요구되는 권한에서는 바로가기 아이콘 생성 및 제거, 실행 중인 애플리케이션 검색, 경고창 생성 등의 행위를 수행할 수 있습니다.
설치가 완료된 후 앱을 실행할 경우 "Video-plug is ready" 창 생성을 통해 내부에 포함된 APK 파일(polyvideo.apk (SHA-1 : a25d23fc8fa3fd6d341dd03e809581022c865b1f - avast! : Android:Dropper-EM [PUP])을 추가로 자동 실행하여 "Poly Videos" 악성앱 설치를 유도합니다.
참고로 만약 사용자가 추가적인 앱(Poly Videos) 설치를 허용하지 않을 경우에도 자동으로 특정 애플리케이션 다운로드 및 설치 목적의 바로가기 아이콘을 생성 또는 삭제를 진행할 수 있습니다.
- android.permission.INTERNET
- android.permission.ACCESS_NETWORK_STATE
- android.permission.READ_PHONE_STATE
- android.permission.ACCESS_WIFI_STATE
- android.permission.GET_TASKS
- android.permission.SYSTEM_ALERT_WINDOW
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.GET_TASKS
- android.permission.INTERNET
- android.permission.READ_PHONE_STATE
- android.permission.ACCESS_NETWORK_STATE
- android.permission.GET_ACCOUNTS
- com.android.launcher.permission.INSTALL_SHORTCUT
- com.android.launcher.permission.UNINSTALL_SHORTCUT
- android.permission.DOWNLOAD_WITHOUT_NOTIFICATION
- android.permission.INTERNET
- android.permission.ACCESS_NETWORK_STATE
- android.permission.ACCESS_WIFI_STATE
- android.permission.READ_PHONE_STATE
- android.permission.WRITE_SETTINGS
- android.permission.WRITE_EXTERNAL_STORAGE
- android.permission.ACCESS_FINE_LOCATION
- android.permission.GET_TASKS
"Poly Videos" 악성앱(com.bech.y)의 주요 권한을 살펴보면 바로가기 아이콘 생성 및 제거, 자동 다운로드, 실행 중인 애플리케이션 검색, 경고창 생성, GPS 위치 확인 등을 행위를 수행할 수 있습니다.
최종적으로 설치가 완료된 환경에서는 "Poly Videos" 바로가기 아이콘을 표시하며 사용자의 호기심을 자극하는 아이콘 모양으로 실행을 유도하고 있습니다.
실행된 "Poly Videos" 애플리케이션에서는 비디오(Video), 사진(Pic), 망가(Manga) 메뉴를 통해 성적으로 자극적인 콘텐츠를 통해 의심을 피하고 있습니다.
참고로 해당 콘텐츠는 유튜브(YouTube) 및 국내에서 유해 사이트로 차단된 서버 연결을 통해 표시될 수 있습니다.
외형적으로는 위와 같은 "Poly Videos" 애플리케이션을 통해 성인 콘텐츠를 감상할 수 있도록 제작되어 있지만, 백그라운드 방식으로 부팅시마다 다음과 같은 악의적인 행위를 수행할 수 있습니다.
스마트폰 부팅시마다 자동으로 실행되는 "com.google.view.main" 악성앱(com.main.haha)은 바로가기 아이콘을 표시하지 않으므로 설치 여부를 인지하기 매우 어려우며, "sdk.mobnativeads.com" 서버와 통신을 통해 설치된 스마트폰 기기 정보를 전송하여 추가적인 구성값 정보를 받아옵니다.
서버에서 받아온 정보를 기반으로 홈(HOME) 화면에 다양한 애플리케이션 이름값을 가진 바로가기 아이콘을 생성하는 행위를 수행합니다.
생성된 바로가기 아이콘은 애플리케이션 자체가 최종적으로 설치된 것이 아니며, 사용자가 생성된 바로가기 아이콘을 실행할 경우 추가적인 설치 파일(APK)을 다운로드하도록 구성되어 있습니다.
- h**p://c3.myapkcdn.in/upload/googleplay/com.nhnent.SKQUEST.apk (SHA-1 : 74fb830d88de360c6d14d7f0640d39a8590733f8) :: 크루세이더 퀘스트 (게임)
- h**p://c5.myapkcdn.in/upload/googleplay/kr.perfectree.heydealer.apk (SHA-1 : cc92e07c6f0b4cb515889e5ef53b450c587b7568) :: 1등 내차팔기 필수앱 - 헤이딜러 (중고차 비교 견적)
테스트 당시에 바로가기 아이콘 클릭을 통해 자동 다운로드된 APK 파일은 "c*.myapkcdn.in" 서버에 등록된 다양한 정상적인 애플리케이션 설치 파일로 확인되고 있습니다.
이를 통해 자동 다운로드된 애플리케이션은 다운로드 폴더(/sdcard/Download)에 생성되어 사용자에 의한 설치를 유도하는 방식으로 배포가 이루어지고 있으며, 만약 최종적으로 설치가 이루어질 경우 악성앱 유포자에게 금전적 수익이 발생할 것으로 판단됩니다.
그러므로 스마트폰에 "Poly Videos" 악성앱이 설치된 경우에는 해당 애플리케이션 이외에 "com.google.view.main" 악성앱을 찾아 함께 제거해 주셔야 합니다.
또한 스마트폰을 이용하여 웹 사이트 접속 과정에서 자동으로 다운로드되는 APK 파일을 호기심에 실행하여 설치할 경우 자동으로 APK 파일 다운로드를 통한 애플리케이션 유도 등의 악의적인 행위가 지속적으로 발생하여 데이터 소모를 유발할 수 있으므로 매우 주의하시기 바랍니다.