2016년 3월 9일경 이메일을 통해 제보받은 안드로이드(Android) 악성앱을 사정상 열어보지 않았다가 최근에서야 확인하게 되었습니다.

 

해당 악성앱은 유명 S 커피 체인점을 방문하여 제공되는 와이파이(Wi-Fi) 접속 시 다운로드되었다고 하며, 2015년경에도 매우 유사한 "Skype Voice" 악성앱이 커피 체인점 무선 인터넷망을 통해 유포된 적이 있었습니다.

 

  • systemapp.apk (SHA-1 : 6fbda43c89252cabf17a257e4418b8f0b073cc4e) - AhnLab V3 Mobile : Android-Trojan/SMSstealer.6984

자동 다운로드된 악성 APK 파일을 사용자가 직접 실행하여 설치 단계를 진행하지 않는다면 사실상 정보 유출 행위는 이루어지지 않으므로 모바일을 통해 인터넷 접속 과정에서 자동으로 다운로드되는 APK 파일을 함부로 실행하는 일이 없도록 주의하시기 바랍니다.

 

 

  • android.permission.RECEIVE_BOOT_COMPLETED
  • android.permission.ACCESS_NETWORK_STATE
  • android.permission.ACCESS_WIFI_STATE
  • android.permission.INTERNET
  • android.permission.READ_PHONE_STATE
  • android.permission.READ_SMS
  • android.permission.RECEIVE_SMS
  • android.permission.WRITE_EXTERNAL_STORAGE
  • android.permission.MOUNT_UNMOUNT_FILESYSTEMS
  • android.permission.ACCESS_COARSE_LOCATION
  • android.permission.ACCESS_FINE_LOCATION
  • android.permission.RECORD_AUDIO
  • android.permission.PROCESS_OUTGOING_CALLS
  • android.permission.WAKE_LOCK
  • android.permission.CALL_PHONE
  • android.permission.READ_CONTACTS
  • android.permission.WRITE_CONTACTS
  • android.permission.SEND_SMS
  • android.permission.MANAGE_ACCOUNTS
  • android.permission.GET_ACCOUNTS
  • android.permission.AUTHENTICATE_ACCOUNTS

다운로드된 APK 파일을 실행할 경우 HI? 이름을 가진 악성앱 설치를 시도하며 부팅 시 자동 실행, 문자 메시지(SMS) 읽기/보내기/받기, 감염된 모바일 사용자 위치 추적(GPS), 연락처 읽기/쓰기 등의 권한을 요구하고 있습니다.

 

 

최초 설치가 완료된 HI? 악성앱은 실행 이전까지는 바로가기 아이콘을 표시하지만 사용자가 실행할 경우 화면 잠금 권한을 가진 기기 관리자 활성화를 요구하며 바로가기 아이콘을 자동 삭제하여 자신의 존재를 숨깁니다.

 

 

이를 통해 스마트폰 부팅 시마다 자동 실행된 HI? 악성앱은 com.m.android.data 패키지명을 가진 프로세스를 생성하여 연락처, 사진, 통화 기록, 문자 메시지 등의 정보를 수집하는 행위를 수행할 수 있습니다.

 

 

특히 기존 악성앱(Skype Voice)과 비교하여 HI? 악성앱은 감염된 스마트폰을 이용한 음성 녹음 기능이 포함되어 있어 저장된 AMR 파일을 외부로 전송할 수 있습니다.

 

  • h**p://185.61.151.112/cancelGroupSMS.htm
  • h**p://185.61.151.112/sychonizeUser.htm
  • h**p://185.61.151.112/uploadAlbum.htm
  • h**p://185.61.151.112/uploadCallLog.htm
  • h**p://185.61.151.112/uploadContact.htm
  • h**p://185.61.151.112/uploadEnvRecord.htm
  • h**p://185.61.151.112/uploadLocation.htm
  • h**p://185.61.151.112/uploadSms.htm
  • h**p://118.193.178.81:9080/uploadSms.htm

이렇게 수집된 정보는 중국(China) 또는 홍콩(HongKong)에 위치한 185.61.151.112 또는 118.193.178.81 IP 서버로 전송되며 테스트 당시에는 서버가 이미 폐쇄된 것으로 추정됩니다.

 

 

정보 유출 기능이 포함된 악성앱 제거를 위해서는 우선 기기 관리자 옵션에서 HI? 항목의 체크를 해제한 후 HI? 악성앱을 찾아 삭제를 진행하시기 바라며, 삭제 시 데이터/캐시 삭제를 반드시 수행한 후 종료하여 제거하시기 바랍니다.

 

무선 공유기를 통해 다수의 사용자에게 인터넷을 서비스하는 커피 체인점과 같은 환경에서는 보안 설정이 낮은 문제로 인하여 악성앱 다운로드 행위가 빈번하게 발생할 수 있으므로 보안 상태를 확인할 수 없는 경우에는 와이파이(Wi-Fi)를 통한 인터넷 접속을 하지 않는 것이 안전합니다.

블로그 이미지

벌새

울지않는벌새가 되고 싶은 나..