울지않는벌새 : Security, Movie & Society

Beat the Boss 3 크랙 파일(.apk)로 위장한 해외 광고 프로그램 유포 사례 (2014.1.3)

벌새::Analysis

유료 안드로이드(Android) 앱을 무료로 이용할 목적으로 많은 사용자들이 결제 크랙(Crack) 파일(.apk)을 다운로드하는 습관을 노리고 제작된 해외 광고 프로그램이 역으로 악용하는 사례를 살펴보도록 하겠습니다.

 

특히 이 사례는 국내 인터넷 사용자가 파일의 정체를 제대로 알지 못하고 블로그 첨부 파일로 올린 것이 아닌가 의심이 되며, 해외에서 제작된 불필요한 프로그램(PUP)이 국내에 비해 얼마나 더 복잡하고 교묘한지를 엿볼 수 있을 것 같습니다.

네이버(Naver) 블로그에 최근 등록된 "비트 더 보스 3(Beat the Boss 3)" 크랙 파일로 소개한 첨부 파일은 안드로이드(Android) 앱에서 사용할 수 있는 .apk 확장자명이 아닌 실행 파일(.exe)로 되어 있습니다.

위와 같은 첨부 파일을 다운로드할 경우 Windows 기본값에서는 "알려진 파일 형식의 파일 확장명 숨기기" 항목이 체크되어 있는 문제로 인하여 다운로드된 파일은 "BTB3-v1.2.2C-appzzang.com.apk" 파일명으로 표시되며, 사용자는 .exe 확장자 명이 표시되지 않는 문제로 인하여 무심결에 실행할 수 있으므로 반드시 폴더 옵션에서 해당 항목의 체크를 해제하시고 사용하시기 바랍니다.

다운로드된 BTB3-v1.2.2C-appzzang.com.apk.exe 첨부 파일(SHA-1 : b5a563a4cc1798d6c06107ef33444de3579a2066)에는 "Ivan Kostin" 디지털 서명이 포함되어 있으며, AhnLab V3 유료 제품에서는 PUP/Win32.TSULoader (VT : 22/48) 진단명으로 진단되고 있습니다.

사용자가 다운로된 파일을 실행해보면 "EzDownloader" 프로그램 설치를 통해 "비트 더 보스 3(Beat the Boss 3)" 크랙 파일을 다운로드할 수 있는 것처럼 보이며, 내용을 자세히 읽어보면 EzDownloader 프로그램과 함께 GreatSaver, Youtube 관련 프로그램을 추가적으로 설치한다고 표시되어 있습니다.

 

이 상태에서 사용자가 파일이 이상하다고 생각하여 좌측 하단의 "Exit" 버튼을 통해 설치를 중단할 경우 다음과 같은 안내창을 생성합니다.

해당 안내창에서는 마치 EzDownloader 프로그램 설치를 중지하는 것이 맞는지 묻는 창으로 보이지만 내용을 자세히 읽어보면 사용자가 무심결에 "OK" 버튼을 클릭하면 "EzDownloader + GreatSaver + YoutubeAdblocker" 프로그램을 모두 설치하게 되므로 매우 주의하셔야 합니다.

 

만약 "비트 더 보스 3(Beat the Boss 3)" 크랙에 대한 강한 집착과 영어를 제대로 이해하지 못한 상태에서 EzDownloader 프로그램의 설치 화면에서 "Next" 버튼을 통해 설치를 진행할 경우를 가정해 보도록 하겠습니다.

다음 단계 화면에서는 여전히 BTB3-v1.2.2C-appzzang.com.apk 크랙 파일을 다운로드할 수 있는 것처럼 화면을 구성하여 인터넷 검색(websearch.searchsunmy.info) 관련 프로그램 설치를 유도하고 있습니다.

만약 사용자가 인터넷 검색 제휴 프로그램의 설치를 거절(Decline)한 경우에는 EzDownloader 프로그램과 마찬가지로 안내창을 통해 사용자의 실수를 유발하여 "OK" 버튼을 클릭하도록 하여 홈 페이지 및 검색 엔진을 변경하도록 할 수 있습니다.

이후 추천 소프트웨어(Recommended Software) 단계에서는 "OptimizerPro + Live Support", "DriverPro + Live Support" 프로그램의 설치 여부를 묻고 있습니다.

 

위와 같은 다양한 제휴 프로그램의 설치를 유도하지만 사용자가 기타 제휴 프로그램의 설치를 진행하지 않고 "EZDownloader + GreatSaver + YoutubeAdblocker" 프로그램만을 설치하였다고 가정한 경우 실제 무엇이 설치되었는지 간단하게 살펴보도록 하겠습니다.

우선 제어판에 등록된 프로그램 목록을 기준으로 살펴보면 "EZDownloader", "ggreatsiaver", "GS-Enabler", "GS-Supporter 1.80", "YoutubeAdblocker"와 같은 5종의 프로그램이 등록되어 있는 것을 확인할 수 있습니다.

또한 해외 광고 프로그램은 Internet Explorer 웹 브라우저 뿐만 아니라 구글 크롬(Google Chrome) 웹 브라우저에서도 동작하도록 "확장 프로그램(chrome://extensions)" 영역에도 "YTBookMaork", "Bitdefender QuickScan", "grEeatsaavver", "YoutubeAdblocker" 프로그램을 등록한 것을 알 수 있습니다.

 

이를 통해 특정 웹 사이트 방문 및 이용 또는 인터넷 검색시 광고가 노출되어 사용자에게 불편을 유발하며 사용자는 어떤 프로그램으로 인한 문제인지 왜 이런 프로그램이 설치되었는지 제대로 알 수 없습니다.

특히 "비트 더 보스 3(Beat the Boss 3)" 크랙 파일 다운로드 목적으로 설치되었다고 생각되는 EZDownloader 프로그램은 전혀 도움을 주지 않는 것을 알 수 있습니다.

 

그러므로 결제 크랙 파일을 국내외 웹 사이트에서 찾는 과정에서 위와 같은 배포 방식에 걸려서 자신도 모르게 설치되는 다양한 광고 프로그램으로 불편을 겪을 수 있다는 점을 인지하시고 불법 파일 다운로드를 지양하시기 바랍니다.