최근 안드로이드(Android) 스마트폰 사용자를 대상으로 멜론(Melon) 온라인 음악 서비스를 불법적으로 사용할 수 있도록 위장한 멜론 크랙(Melon Crack, SHA-1 : 8e44888f49a1f352749da7e037539a32cdd18e9f)을 설치시 스마트폰을 사용할 수 없도록 방해하는 사례가 확인되고 있습니다.
▷ <처리의 블로그> 안드로이드(Android), 조크성(Misc.Android.Joke) 어플리케이션 "멜론 크랙 어플" 주의 (2014.3.24)
해당 악성앱에 대한 유포지는 확인되지 않고 있지만 인터넷 상에서 멜론 크랙을 찾는 사용자들이 다운로드할 수 있는 웹 사이트를 이용한 것으로 추정됩니다.(※ 관련 정보를 알고 있는 분들은 제보 부탁드립니다.)
android.permission.WRITE_EXTERNAL_STORAGE
android.permission.SYSTEM_ALERT_WINDOW
android.permission.RECEIVE_BOOT_COMPLETED
다운로드된 멜론 크랙(Melon Crack)은 "① SD카드 콘텐츠 수정/삭제 ② 시스템 수준 경고 표시 ③ 부팅할 때 자동 시작" 권한을 가지고 있는 것으로 확인되고 있으며, 기본적으로 크랙(Crack)앱이 멜론(Melon) 동작시 실행되는 것이 아니라 시스템 시작시 자동 실행되는 경우에는 많은 의심을 할 필요가 있습니다.
설치된 멜론 크랙앱을 실행하면 배경 화면에 "gooaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
aaaaaad" 문자열을 채우며, 남성의 목소리로 추정되는 신음 소리가 1초 간격으로 반복적으로 재생되도록 제작되어 있습니다.
참고로 관련 소스를 확인해보면 백그라운드 텍스트(bt)에 반복적인 문자열이 표시되도록 되어 있는 것을 알 수 있습니다.
해당 동작을 자세하게 살펴보면 우선적으로 "MelonCr\res\raw\ang.mp3" 리소스에 등록된 ang.mp3 파일에 녹음된 남성의 신음 소리를 불러오도록 되어 있으며, 해당 파일은 1초 재생 시간을 가진 오디오 파일입니다.
이후 해당 음성 파일을 사용자가 듣지 못하도록 볼륨을 낮추는 것을 방해할 목적으로 볼륨 수준을 특정값에서 내리지 못하도록 합니다.
이로 인하여 실제 사용자가 볼륨을 내릴 경우 일정 수준 이하로는 내려가지 않는 동작을 확인할 수 있습니다.
위와 같은 악의적 행위를 통해 "MainService, MainService1"가 지속적으로 진행되어 배경 화면에는 특정 문자열이 표시되며 지속적인 신음 소리와 볼륨키를 비롯한 다른 메뉴 실행이 불가능하게 됩니다.
현재 알약(ALYac) 모바일 백신에서는 "Misc.Android.Joke" 진단명으로 진단이 이루어지고 있다고 밝히고 있으며, 수동으로 문제를 해결하기 위해서는 안드로이드 재부팅 과정에서 안전 모드 부팅을 통해 멜론 크랙(Melon Crack)앱을 찾아 삭제하는 방식으로 해결할 수 있습니다.
마지막으로 안드로이드(Android) 스마트폰 사용자를 대상으로 한 악성앱이 지속적으로 발견되고 있으므로 사용자가 정상적인 서비스를 불법적으로 사용할 목적으로 제작된 앱을 함부로 다운로드 및 실행하여 이같은 피해를 당하지 않도록 사용자의 올바른 스마트폰 사용 습관을 가지시기 바랍니다.
[관련글 보기]
☞ AhnLab 위장 파일을 생성하는 멜론(Melon) 크랙 주의 (2012.3.2)
☞ 키로깅 기능을 추가하는 멜론(Melon) 크랙 주의 (2012.3.2)